Исследователь безопасности успешно атаковал windows.com через подмену битов

В результате ему удалось перехватить много всего, что изначально направлялось на сервера Microsoft.

Специалист по кибербезопасности под ником Remy успешно атаковал домен windows.com с помощью битсквоттинга, о чём поделился в своём блоге. Адрес, принадлежавший Microsoft, начал «делиться» частью запросов с серверами исследователя.

Битсквоттинг — это подмена доменного имени через манипуляцию битами или bit flipping. С помощью этой методики, хакеры могут автоматизировать атаки и уводить трафик с серверов жертв.

Так, в памяти компьютера адрес сайта Microsoft хранится в виде 01110111 01101001 01101110 01100100 01101111 01110111 01110011 00101110 01100011 01101111 01101101. А если поменять буквально один бит, то это будет совсем другой адрес, хоть и очень похожий. Именно таким образом Remy смог получить доступ к части трафика windows.com, пишет SecurityLab.

Пример изменения адреса путём «переключения» одного бита

Теперь давайте вообразим, что перегревшийся компьютер, вспышка на солнце или космическое излучение (вполне реальная штука) перевернуло бит на компьютере. О нет! Теперь хранящееся в памяти значение стало whndows.com вместо windows.com! Что произойдет, когда придет время подключаться к этому домену? Домен не разрешится в IP-адрес.

Remy

Специалист смог выкупить 14 доменных имён с перевёрнутым битом, которые находились в открытой продаже. Подключив их к подконтрольному ему серверу, Remy захватил UDP-трафик, предназначенный для сервера точного времени time.windows.com, и TCP-трафик, предназначенный для сервисов Microsoft, таких как Windows Push Notification Services (WNS) и SkyDrive (ранее OneDrive).

Источник: SecurityLab

Что думаете?