Bitflips quando os PCs tentam acessar o windows.com: o que pode dar errado?

Foto conservada em estoque de uns e zeros exibidos na tela do computador.

Bitflips são eventos que fazem com que bits individuais armazenados em um dispositivo eletrônico sejam invertidos, transformando de 0 em 1 ou vice-versa. A radiação cósmica e as flutuações de energia ou temperatura são as causas naturais mais comuns. Uma pesquisa de 2010 estimou que um computador com 4 GB de RAM comum tem 96% de chance de sofrer um bitflip em três dias.

Um pesquisador independente demonstrou recentemente como os bitflips podem voltar para prejudicar os usuários do Windows quando seus PCs alcançam o domínio windows.com da Microsoft. Os dispositivos Windows fazem isso regularmente para realizar ações como verificar se a hora exibida no relógio do computador está correta, conectar-se aos serviços baseados em nuvem da Microsoft e se recuperar de travamentos.

Remy, como o pesquisador pediu para ser referido, mapeou os 32 nomes de domínio válidos que estavam um bitflip de distância do windows.com. Ele forneceu o seguinte para ajudar os leitores a entender como essas inversões podem fazer com que o domínio mude para whndows.com:

01110111 01101001 01101110 01100100 01101111 01110111 01110011
C eu n d o C s
01110111 01101000 01101110 01100100 01101111 01110111 01110011
C h n d o C s

Dos valores invertidos de 32 bits que eram nomes de domínio válidos, Remy descobriu que 14 deles ainda estavam disponíveis para compra. Isso foi surpreendente porque a Microsoft e outras empresas normalmente compram esses tipos de domínios únicos para proteger os clientes contra ataques de phishing. Ele os comprou por $ 126 e começou a ver o que aconteceria. Os domínios eram:

  • windnws.com
  • windo7s.com
  • windkws.com
  • windmws.com
  • winlows.com
  • windgws.com
  • wildows.com
  • wintows.com
  • wijdows.com
  • wiodows.com
  • wifdows.com
  • whndows.com
  • wkndows.com
  • wmndows.com

Sem verificação inerente

Ao longo de duas semanas, o servidor de Remy recebeu 199.180 conexões de 626 endereços IP exclusivos que estavam tentando entrar em contato com ntp.windows.com. Por padrão, as máquinas Windows se conectarão a este domínio uma vez por semana para verificar se a hora exibida no relógio do dispositivo está correta. O que o pesquisador descobriu a seguir foi ainda mais surpreendente.

“O cliente NTP para Windows OS não tem verificação inerente de autenticidade, então não há nada que impeça uma pessoa mal-intencionada de dizer a todos esses computadores que é depois das 03:14:07 na terça-feira, 19 de janeiro de 2038 e causando estragos desconhecidos como a memória que armazena o inteiro assinado de 32 bits para estouros de tempo ”, escreveu ele em um post resumindo suas descobertas. “Acontece que, para cerca de 30% desses computadores, fazer isso faria pouca ou nenhuma diferença para os usuários, porque seu relógio já está quebrado. ”

O pesquisador observou máquinas tentando fazer conexões com outros subdomínios do windows.com, incluindo sg2p.wswindows.com, client.wns.windows.com, skydrive.wns.windows.com, windows.com/stopcode e windows.com/ ? fbclid.

Remy disse que nem todas as incompatibilidades de domínio eram o resultado de bitflips. Em alguns casos, as incompatibilidades foram causadas por erros de digitação cometidos por pessoas atrás do teclado e, em pelo menos um caso, o teclado estava em um dispositivo Android, pois tentava diagnosticar uma falha de tela azul mortal que ocorreu em um Máquina Windows.

Para capturar os dispositivos de tráfego enviados aos domínios incompatíveis, Remy alugou um servidor virtual privado e criou entradas de pesquisa de domínio curinga para apontar para eles. Os registros curinga permitem que o tráfego destinado a diferentes subdomínios do mesmo domínio – digamos, ntp.whndows.com, abs.xyz.whndows.com ou client.wns.whndows.com – seja mapeado para o mesmo endereço IP.

“Devido à natureza desta pesquisa que trata de bits sendo invertidos, isso me permite capturar qualquer pesquisa DNS para um subdomínio de windows.com onde vários bits foram invertidos.”

Remy disse que está disposto a transferir os 14 domínios para uma “parte comprovadamente responsável”. Nesse ínterim, ele simplesmente os afundará, o que significa que manterá os endereços e configurará os registros DNS para que fiquem inacessíveis.

“Felizmente, isso gera mais pesquisas”

Perguntei aos representantes da Microsoft se eles estão cientes das descobertas e da oferta para transferir os domínios. Os representantes estão trabalhando para obter uma resposta. Os leitores devem se lembrar, porém, que as ameaças que a pesquisa identifica não se limitam ao Windows.

Em uma apresentação de 2019 no Kaspersky Security Analysts Summit, por exemplo, pesquisadores da empresa de segurança Bishop Fox obtiveram alguns resultados surpreendentes após registrar centenas de variações bitflip de skype.com, symantec.com e outros sites amplamente visitados.

Remy disse que as descobertas são importantes porque sugerem que incompatibilidades de domínio induzidas por bitflip ocorrem em uma escala maior do que muitas pessoas imaginaram.

“A pesquisa anterior lidava principalmente com HTTP / HTTPS, mas minha pesquisa mostra que, mesmo com um pequeno punhado de domínios bitsquatted, você ainda pode desviar o tráfego mal-destinado de outros protocolos de rede padrão que estão constantemente em execução, como NTP,” Remy. disse em uma mensagem direta. “Esperançosamente, isso gera mais pesquisas nesta área no que se refere ao modelo de ameaça de serviços de sistema operacional padrão.”

Atualizar: Muitos comentaristas apontaram que não há como ter certeza de que as visitas a seu domínio foram resultado de mudanças de bits. Erros de digitação também podem ser a causa. De qualquer forma, a ameaça representada para os usuários finais permanece a mesma.

Atualização 2: Os representantes da Microsoft não responderam às minhas perguntas, mas disseram: “Estamos cientes das técnicas de engenharia social em todo o setor que podem ser usadas para direcionar alguns clientes a um site malicioso”.

Source link