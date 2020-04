Microsoft heeft corp.com gekocht. Het bedrijf wil zo voorkomen dat criminelen data van honderdduizenden bedrijfscomputers in handen krijgt, die door een foutje in Windows verbinding maken met het domein.

De domeinnaam in kwestie was 26 jaar lang in handen van de Amerikaan Mike O'Connor. Hij kocht in 1994 verschillende generieke domeinnamen zoals bar.com, pub.com en ook corp.com. Sinds afgelopen week is de domeinnaam verkocht aan Microsoft, zo meldt securityjournalist Brian Krebs.

Dat net Microsoft het domein koopt is geen toeval. O'Connor hoopte daar al op en met een zeer terechte reden: veel computers maken buiten hun bedrijfsnetwerk verbinding met het domein 'corp', normaal bedoeld voor intern gebruik. Omwille van de manier waarop Windows omgaat met domeinnamen, maken veel computers, eens ze buiten het bedrijfsnetwerk zitten, daarom verbinding met corp.com waarbij ze ook inloggegevens en andere gevoelige info doorgeven.

Dat was tot nu toe geen probleem omdat het domein niet werd gebruikt door O'Connor. Maar hij vreesde zelf dat een andere koper dan Microsoft het mogelijk zou misbruiken voor criminele doeleinden.

Oude standaardinstelling

Krebs legde in een eerdere blogpost uit hoe dat mogelijk is. De oorzaak ligt bij oude versies van Windows waarbij Active Directory standaard terugviel op het domein 'corp'. Veel bedrijven wijzigden dat niet in het domein van hun onderneming en bouwden over de jaren heen hun bedrijfsnetwerk uit. Dit in een tijd dat de meeste computers desktops waren die alleen maar aangesloten waren op het bedrijfsnetwerk, of via dat bedrijfsnetwerk op internet kwamen.

Vandaag is het computerlandschap anders, vrijwel elke werknemer heeft een laptop en verschillende van hen gebruiken die ook thuis of op verplaatsing. Maar veel bedrijfscomputers maken nog steeds verbinding met 'corp'.

Krebs zegt dat de mogelijke schade, als het domein corp.com in handen valt van criminelen niet miniem is. Hij wijst naar onderzoek van Jeff Schmidt die in 2019 gedurende acht maanden heeft onderzocht hoeveel toestellen verbinding maakten met het domein. Hij telde meer dan 375.000 Windows pc's. Heel even werd ook gekeken wat er gebeurde als het domein de inkomende verbindingen accepteerde. In slechts een kwartier tijd kwam er zoveel gevoelige data binnen dat het experiment werd stopgezet. Het gaat dan om gegevens om op bepaalde bedrijfsnetwerken in te loggen.

Updates beschikbaar, maar niet uitgevoerd

Microsoft zelf bevestigt de verkoop in een reactie aan Brian Krebs. Het bedrijf zegt dat het dat doet om klanten te beschermen. Microsoft nuanceert daarbij dat het in de loop der jaren veel maatregelen nam en updates heeft uitgestuurd om het probleem te verhelpen. Maar dat veel bedrijven ze niet uitvoeren. De patches in kwestie vragen dat Active Directory een tijdje offline gaat, Microsoft vermoedt ook dat bepaalde bedrijfstoepassingen niet of trager zouden werken. Voor veel IT-beheerders is het beperkte risico daarom kleiner dan de moeite om het bedrijfsnetwerk grondig aan te passen.

MS zegt in verklaring dat het domein is gekocht om klanten te beschermen.Veel updates en maatregelen: maar veel bedrijven niet uitgevoerd, omdat de hele Active Directory dan even offline moet., en patch zal aantal applicaties vertragen of stukmaken.

