位翻转是导致存储在电子设备中的单个位翻转的事件,将0变为1或反之亦然。宇宙辐射和功率或温度的波动是最常见的自然原因。2010年的一项研究估计,一台拥有4GB商用内存的电脑有96%的几率在三天内发生位翻转。
一位独立研究人员最近演示了,当Windows用户的个人电脑接触到微软的windows.com域名时,沐鸣开户测速bitflip会如何反过来咬一口。Windows设备经常这样做,以执行一些操作,比如确保电脑时钟显示的时间是准确的,连接到微软的云服务,以及从崩溃中恢复。
Remy,正如研究员要求的那样,映射了32个有效的域名,从windows.com只需一个字节。他提供了以下内容来帮助读者理解这些反转是如何导致域名变为whndows.com的:
01110111 01101001 011011100 01101111 01110111 01110011
w i n o w s
01110111 01101000 01101110 01101000 01101111 01110111 01110011
w h n d o w s
在有效域名的32位反转值中,Remy发现有14个仍然可以购买。这是令人惊讶的,因为微软和其他公司通常购买这种一次性域名,以保护客户免受钓鱼攻击。他以126美元的价格买下了这双鞋,然后出发去看看会发生什么。的领域是:
windnws.com
windo7s.com
windkws.com
windmws.com
winlows.com
windgws.com
wildows.com
wintows.com
wijdows.com
wiodows.com
wifdows.com
whndows.com
wkndows.com
wmndows.com
广告
没有固有的验证
在两周的时间里,Remy的服务器收到了来自626个唯一IP地址的199,180个连接,这些IP地址试图联系ntp.windows.com。默认情况下,Windows机器将每周连接到这个域一次,以检查设备时钟上显示的时间是否正确。研究人员接下来的发现更令人惊讶。
“windows操作系统的国家结核控制规划客户没有固有的真实性验证,所以没有什么阻止恶意的人告诉这些电脑周二03:14:07后,2038年1月19日,给未知的破坏的内存存储签署了32位整数溢出,“他写的一篇文章中总结了他的发现。“但事实证明,大约30%的电脑这样做对用户来说几乎没有什么区别,因为他们的时钟已经坏了。”
研究人员观察到机器试图连接到其他windows.com子域名,包括sg2p.w.s.windows.com、client.wns.windows.com、skydrive.wns.windows.com、windows.com/stopcode和windows.com/?fbclid。
Remy表示,并非所有的域名不匹配都是由bitflip造成的。在某些情况下,不匹配是由键盘后面的人输入错误造成的,至少有一次,键盘是在Android设备上,当时它试图诊断Windows机器发生的蓝屏死机。
为了捕获发送到不匹配域的流量设备,Remy租用了一个虚拟私有服务器,并创建了通配符域查找条目来指向它们。通配符记录允许目的地为同一个域的不同子域的流量映射到同一个IP地址,例如ntp.whndows.com、abs.xyz.whndows.com或client.wns.whndows.com。
广告
“由于这项研究处理位被翻转的性质,这允许我捕捉任何DNS查找,为windows.com的子域多个位被翻转。”
雷米表示,他愿意将这14个域名转让给“有可靠责任的一方”。“与此同时,沐鸣开户测速他只会把它们挖空,这意味着他会保留这些地址,并配置DNS记录,使它们无法访问。”
“希望这能催生出更多的研究”
我询问微软的代表,他们是否知道这一调查结果以及转让域名的提议。代表们正在争取得到答复。不过,读者应该记住,该研究发现的威胁并不仅限于Windows。
例如,在2019年卡巴斯基安全分析师峰会(Kaspersky Security Analysts Summit)上的一次演讲中,安全公司Bishop Fox的研究人员在注册了skype.com、赛门铁克(symantec.com)和其他广泛访问的网站的数百个bitflip变体后,获得了一些令人大开眼界的结果。
Remy说,这些发现很重要,因为它们表明,bitflip引发的领域错配的规模比许多人意识到的要大。
“之前的研究主要是针对HTTP/HTTPS,但我的研究表明,即使是一小部分被bitsquatted域名,你仍然可以从其他持续运行的默认网络协议(如NTP)中吸取注定失败的流量,”Remy在直接消息中说。“希望,这将催生更多的研究,因为这与默认操作系统服务的威胁模型有关。”
更新:许多评论指出,无法确定访问他的域名是由于位翻转。拼写错误也可能是原因。不管怎样,对终端用户构成的威胁都是一样的。
更新2:微软的代表没有回答我的问题,但他们说:“我们知道,行业范围内的社会工程技术可能会被用来引导一些客户进入恶意网站。”