Windows.com Bitsquatting Hack可以在PC上肆虐“未知伤害”

2021-03-07 09:42:14

BitFlips是使存储在电子设备中的单个位翻转的事件,使0变为1或反之亦然。宇宙辐射和功率或温度的波动是最常见的天然存在的原因。 2010年的研究估计,具有4GB的商品RAM的计算机有96%的机会在三天内经历比特液。

一个独立的研究员最近演示了在他们的电脑伸出微软的Windows.com域时,贝格普布如何回到Windows用户。 Windows设备定期执行此操作以执行操作,例如确保计算机时钟中显示的时间准确,连接到Microsoft的基于云的服务,并从崩溃中恢复。

remy,正如研究人员所要求的那样,映射了32个有效的域名,其中一个比特闪入Windows.com。他提供了以下内容来帮助读者了解这些翻转如何导致域更改为whndows.com:

在一个有效域名的32位翻转的值中,remy发现其中14个仍可购买。这令人惊讶,因为微软和其他公司通常会购买这些类型的一次性域,以保护客户免受网络钓鱼攻击。他以126美元的价格买了他们,并提出看看会发生什么。域名是:

在两周的过程中,Remy的服务器从626个唯一的IP地址接收了199,180个连接,这些内容正在尝试联系NTP.Windows.com。默认情况下,Windows计算机每周将连接到此域一次,以检查设备时钟上显示的时间是否正确。接下来的研究员发现更令人惊讶。

“Windows操作系统的NTP客户端没有固有的真实性验证,因此没有什么可以阻止恶意的人告诉所有这些计算机,这是在2038年1月19日星期二03:14:07之后的所有这些计算机,并将未知的破坏造成未知的破坏作为存储的内存签署了32位整数的时间溢出,“他在总结他的发现的一篇文章中写道。 “事实证明,〜30%的计算机占据了这一点,这对这些用户来说几乎没有任何区别,因为他们的时钟已经被打破了。”

研究人员观察了试图与其他Windows.com子域连接的机器,包括SG2P.WWINDows.com,Client.wns.windows.com,skydrive.wns.windows.com,windows.com/stopcode和windows.com/ ?FBCLID。

REMY表示,并非所有的域不匹配都是比特片的结果。在某些情况下,不匹配是由键盘后面的人的错字引起的,并且在至少一个情况下,键盘在Android设备上,因为它试图诊断一个发生的蓝屏死亡崩溃Windows机器。

要捕获发送到不匹配域的流量设备,请remy租用虚拟私人服务器并创建通配符域查找条目以指向它们。通配符记录允许运输运往同一域的不同子域名 - 例如,ntp.whndows.com,abs.xyz.whndows.com,或client.wns.whndows.com - 以映射到同一IP地址。

“由于这项研究的性质处理了翻转的位,这允许我为Windows.com的子域捕获任何DNS查找,其中多个位翻转。”

remy说他愿意将14个域名转移到“可积极的负责任”。与此同时,他将简单地陷入困境,这意味着他将抓住地址并配置DNS记录,以便它们无法访问。

我要求微软代表如果他们意识到调查结果以及转让域名的要约。代表正在努力获得回应。但是,读者应该记住,研究识别的威胁不限于Windows。

例如,在2019年在Kaspersky安全分析师峰会的演示中,安全公司主教福克斯的研究人员在注册数百位Skype.com,Symantec.com和其他广泛访问的网站后获得了一些令人眼花效果。

Remy表示,调查结果很重要,因为他们建议比特闪光诱导的域不匹配发生在比众多人实现的规模高的规模。

“先前的研究主要处理HTTP / HTTPS,但我的研究表明,即使使用了一部小少数位的域,您仍然可以从不断运行的其他默认网络协议(如NTP)的其他默认网络协议上虹吸出来的流量。在直接留言中说。 “希望,这会产生更多的研究,因为它与默认OS服务的威胁模型有关。”

更新:许多评论者已经指出那里的评论者没有办法确定他域名的访问是比特翻转的结果。拼写错误也可能是原因。无论哪种方式,向最终用户带来的威胁保持不变。

更新2:Microsoft代表并不回答我的问题,但他们确实说:“我们意识到可以用来将一些客户指向恶意网站的行业范围的社会工程技术。”

尽管这攻击载体只影响了很少的Windows PC(基于物品的5,000左右),但它是完全随机的传播,这仍然有可能是非常损害的。如果Windows NTP实现中存在远程代码执行漏洞,那么' argantuan比例的即时僵尸网络,均匀地遍布世界各地的Windows PC。我' ll将此添加到我的域名列表中,以便使用域名...

全球600台机器超过两周,有些人知道无关拼写错误' t的声音就像它'是一个重要的问题。

这正是我的想法。 '根据MS的10亿Windows 10设备,并且可能与早期的Windows版本有更多更多。即使是200k连接(将包括NAT)也根本没有任何内容。是的,也许你可以脱离比特率 - 但是没有,你可以用这种方式感染任何大量的机器。

我不认为这就是它的意思。它是关于比特辉煌一般。在RAM中翻转的比特或在此特定URL的磁盘上的概率是我猜测极小的,但它发生了(如果这些是稍微翻转)。如果它有点翻转,其他系统发生了哪些其他变化,其中其他系统被注意到,由于缺少系统缺乏错误检查。

我觉得我的外带,不良老奶奶让她的银行账户抢劫的风险,而是一个主要公司的风险,其中一个有*内部*地址,这是一点从*外部*地址翻转 这可以成功键盘蹲下或比特闪烁蹲。 我知道很多组织使用" .com" 内部即使是不必要的,虽然可能是"低技能和#34; 攻击,似乎是一个适度熟练的寮屋似乎可以针对一个非常棒的位翻转攻击,例如mmm.com,ibm.com等的大公司。组织内部的几个PC的可能性有点翻转方法1 ,特定域的可能性达到嵌入的方法仍然接近零,但是是非零...所以我认为它' SA有效的论点,即大型IT组织应该偶尔检查防火墙日志,以便成功连接到寮屋 域名。