Bei dieser Domain kommen unzählige sensible Daten an – jetzt soll sie verkauft werden

Login-Maske. (Bild: Hamik / Shutterstock)
In den frühen 1990ern kaufte Mike O’Connor eine ganze Reihe generischer Domains wie Bar.com oder Cafes.com. Manche davon verkaufte er später, eine blieb aber 26 Jahre lang in seinem Besitz: die Domain Corp.com. Jetzt will sich O’Connor aber doch von dem Domainnamen trennen und hätte dafür nach Angaben des Cyber-Sicherheitsjournalisten Brian Krebs gerne 1,7 Millionen US-Dollar. Viel Geld, aber für eine solche Domain kein ungewöhnlicher Preis. Problematisch ist vielmehr, welche Daten bei der Domain anlaufen: Logindaten, E-Mails und weitere, potenziell sensible Firmendaten.
Das zugrundeliegende Problem wird als „namespace collision“ bezeichnet und im Fall von Corp.com gehen die unbeabsichtigt gesendeten Daten auf ungünstig gewählte Grundeinstellungen in alten Versionen von Microsofts Active Directory zurück. Konkret geht es um die Funktion „DNS name devolution“. Die Funktion macht es durch Abkürzungen einfacher, auf interne Server-Ressourcen zuzugreifen. Statt der exakten Domain würde es dank entsprechender konfiguriert „DNS name devolution“ beispielsweise reichen, \\Laufwerk1\ in den Explorer einzugeben, um auf das entsprechende Laufwerk zuzugreifen.
In alten Windows-Versionen verwendete Microsoft für den Active-Directory-Beispielpfad die Bezeichnung „corp“. Und offensichtlich haben viele Firmen den einfach übernommen. Vor 20 Jahren mag das kein größeres Problem gewesen sein, heute sind Mitarbeiter aber natürlich viel häufiger unterwegs und greifen über das Internet auf interne Firmenressourcen zu. Das wiederum kann dazu führen, dass Windows versucht, die Adresse über die bestehende WLAN-Verbindung aufzulösen, was dann wiederum zu Corp.com führt.
Corp.com: Sicherheitsforscher erhielten steten Strom aus Anmeldedaten
Wie schlimm es tatsächlich ist, konnte der Sicherheitsforscher Jeff Schmidt 2019 testen. Laut Krebs konnte der den Domain-Besitzer O’Connor im letzten Jahr davon überzeugen, von dem Verkauf noch eine Weile Abstand zu nehmen, und übernahm danach temporär die Kontrolle über Corp.com. Schmidt und seine Kollegen begannen dann, Anfragen nach Vorbild lokaler Windows-Netzwerke anzunehmen. Das Ergebnis nennt Schmidt gegenüber Krebs „erschreckend“. Das Experiment habe man nach nur 15 Minuten abgebrochen, aber in der Zeit habe es „Anmeldedaten geregnet“.
Anschließend konfigurierten Schmidt und seine Kollegen den Server für den E-Mail-Empfang. Das Ergebnis: In einer halben Stunde erhielten sie zwölf Millionen Mails. Die meisten seien automatisierte Nachrichten gewesen, einige waren jedoch von sensibler Natur, weswegen Schmidt auch die Daten dieses Versuches sofort vernichtet habe. Interessanterweise sollen einige der Serveranfragen, die im Verlauf der Tests bei Corp.com anliefen, sogar aus Microsofts internem Netzwerk gekommen sein.
Microsoft wollte die Domain schon vor einigen Jahren kaufen – für 20.000 Dollar
Für O’Connor ist es nicht das erste Mal, dass Microsoft versehentlich Traffic auf eine seiner Domains spült. Die Dokumentation des Personal Web Server von Windows 95 enthielt einen Link auf Company.com, eine weitere Domain, die sich im Besitz von O’Connor befand. Ein weiterer Link auf diese Seite wurde von dem Website-Wizard des HTML-Editors Frontpage 2.0 in einer Vorlage verwendet. Wie dieses Archivabbild von Corp.com vom 16. Oktober 1997 zeigt, leitete O’Connor diesen Traffic zumindest zeitweise auf einen Internet-Sexshop um.
Das Corp.com für viele Microsoft-Kunden ein Sicherheitsrisiko darstellt, scheint auch Microsoft bekannt zu sein. Laut Krebs bot der Software-Konzern O’Connor vor einigen Jahren an, die Domain zu kaufen. Das Angebot von 20.000 Dollar lehnte der jedoch als zu niedrig ab. Jetzt soll die Domain versteigert werden. Was mit dem ungewollt auflaufenden Traffic passiert, werden dann die neuen Besitzer entscheiden.