Битовые сальто — это события, которые заставляют отдельные биты, хранящиеся в электронном устройстве, переворачиваться, превращая 0 в 1 или наоборот. Космическое излучение и колебания мощности или температуры являются наиболее частыми естественными причинами. Исследование 2010 года показало, что компьютер с 4 ГБ стандартной оперативной памяти имеет 96-процентную вероятность возникновения битового сальто в течение трех дней.
Независимый исследователь недавно продемонстрировал, как битфлип может вернуться, чтобы укусить пользователей Windows, когда их компьютеры достигают в домен Microsoft windows.com. Устройства Windows делают это регулярно, чтобы выполнять такие действия, как обеспечение точности времени, отображаемого на часах компьютера, подключение к облачным службам Microsoft и восстановление после сбоев.
Реми, как попросил указать исследователь. to, сопоставил 32 действительных доменных имени, которые были на один бит от windows.com. Он предоставил следующее, чтобы помочь читателям понять, как эти перевороты могут привести к смене домена на whndows.com:
Из 32 перевернутых битов значений, которые были действительными доменными именами, Реми обнаружил, что 14 из них все еще доступны для покупки. Это было удивительно, потому что Microsoft и другие компании обычно покупают такие типы одноразовых доменов для защиты клиентов от фишинговых атак. Он купил их за 126 долларов и решил посмотреть, что будет. Это были следующие домены:
- windnws.com
- windo7s.com
- windkws.com
- windmws.com
- winlows.com
- windgws.com
- wildows.com
- wintows.com
- wijdows.com
- wiodows.com
- wifdows.com
- whndows.com
- wkndows.com
- wmndows.com
Никакой внутренней проверки
В течение двух недель сервер Реми получил 199 180 соединений с 626 уникальных IP-адресов, которые пытались связаться с ntp.windows. com. По умолчанию машины Windows будут подключаться к этому домену один раз в неделю, чтобы проверить правильность времени, отображаемого на часах устройства. То, что исследователь обнаружил дальше, было еще более удивительным.
«Клиент NTP для ОС Windows не имеет встроенной проверки подлинности, поэтому ничто не мешает злоумышленнику сообщить всем этим компьютерам, что это после 03:14:07 во вторник, 19 января 2038 года, и нанести неизвестный ущерб, поскольку память, хранящая 32-битное целое число со знаком для переполнения времени », — написал он в своем сообщении, в котором резюмировал свои выводы. «Тем не менее, как выяснилось, для ~ 30% этих компьютеров это практически не имело бы никакого значения для этих пользователей, потому что их часы уже сломаны».
Исследователь наблюдал машины, пытающиеся установить соединение на другие поддомены windows.com, включая sg2p.wswindows.com, client.wns.windows.com, skydrive.wns.windows.com, windows.com/stopcode и windows.com/?fbclid.
< p> Реми сказал, что не все несовпадения доменов были результатом переворотов битов. В некоторых случаях несоответствия были вызваны опечатками людей за клавиатурой, и по крайней мере в одном случае клавиатура была на устройстве Android, поскольку она пыталась диагностировать сбой с синим экраном смерти, который произошел на Компьютер Windows.
Чтобы перехватить устройства трафика, отправленные в несовпадающие домены, Реми арендовал виртуальный частный сервер и создал записи поиска домена с подстановочными знаками, чтобы указать на них. Записи с подстановочными знаками позволяют трафику, предназначенному для разных поддоменов одного домена, например ntp.whndows.com, abs.xyz.whndows.com или client.wns.whndows.com, сопоставляться с одним и тем же IP-адресом. </P >
«Из-за характера этого исследования, связанного с перевернутыми битами, это позволяет мне фиксировать любой поиск DNS для поддомена windows.com, где несколько битов перевернут ».
Реми сказал, что готов передать 14 доменов« достоверно ответственной стороне ». А пока он просто закопает их, то есть он будет удерживать адреса и настраивать записи DNS так, чтобы они были недоступны.