Los bitflips son eventos que hacen que los bits individuales almacenados en un dispositivo electrónico cambien, convirtiendo un 0 en un 1 o viceversa. La radiación cósmica y las fluctuaciones de potencia o temperatura son las causas naturales más comunes. Investigación de 2010 estimó que una computadora con 4GB de RAM básica tiene un 96 por ciento de posibilidades de experimentar un bitflip en tres días.
Un investigador independiente demostró recientemente cómo los bitflips pueden volver a morder a los usuarios de Windows cuando sus PC acceden al dominio windows.com de Microsoft. Los dispositivos Windows hacen esto con regularidad para realizar acciones como asegurarse de que la hora que se muestra en el reloj de la computadora sea precisa, conectarse a los servicios basados en la nube de Microsoft y recuperarse de fallas.
Remy, como el investigador pidió que se le mencionara, mapeó los 32 nombres de dominio válidos que estaban a un bitflip de windows.com. Proporcionó lo siguiente para ayudar a los lectores a comprender cómo estos cambios pueden hacer que el dominio cambie a whndows.com:
| 01110111 | 01101001 | 01101110 | 01100100 | 01101111 | 01110111 | 01110011 |
|---|---|---|---|---|---|---|
| w | I | norte | D | los | w | s |
| 01110111 | 01101000 | 01101110 | 01100100 | 01101111 | 01110111 | 01110011 |
|---|---|---|---|---|---|---|
| w | h | norte | D | los | w | s |
De los valores de 32 bits invertidos que eran nombres de dominio válidos, Remy descubrió que 14 de ellos todavía estaban disponibles para su compra. Esto fue sorprendente porque Microsoft y otras compañías normalmente compran este tipo de dominios únicos para proteger a los clientes contra ataques de phishing. Los compró por $ 126 y se dispuso a ver qué pasaba. Los dominios fueron:
- windnws.com
- windo7s.com
- windkws.com
- windmws.com
- winlows.com
- windgws.com
- wildows.com
- wintows.com
- wijdows.com
- wiodows.com
- wifdows.com
- whndows.com
- wkndows.com
- wmndows.com
Sin verificación inherente
En el transcurso de dos semanas, el servidor de Remy recibió 199,180 conexiones de 626 direcciones IP únicas que intentaban comunicarse con ntp.windows.com. De forma predeterminada, las máquinas con Windows se conectarán a este dominio una vez por semana para comprobar que la hora que se muestra en el reloj del dispositivo sea correcta. Lo que el investigador encontró a continuación fue aún más sorprendente.
“El cliente NTP para el sistema operativo Windows no tiene una verificación inherente de autenticidad, por lo que no hay nada que impida que una persona malintencionada les diga a todas estas computadoras que está buscando 03:14:07 el martes 19 de enero de 2038 y causando estragos desconocidos a medida que la memoria que almacena el entero de 32 bits firmado para el tiempo se desborda ”, escribió en un correo resumiendo sus hallazgos. “Sin embargo, resulta que para aproximadamente el 30% de estas computadoras que hacen eso, no haría ninguna diferencia para esos usuarios porque su reloj ya está roto. «
El investigador observó máquinas que intentaban establecer conexiones con otros subdominios de windows.com, incluidos sg2p.wswindows.com, client.wns.windows.com, skydrive.wns.windows.com, windows.com/stopcode y windows.com/? fbclid.
Remy dijo que no todos los desajustes de dominio fueron el resultado de bitflips. En algunos casos, los desajustes fueron causados por errores tipográficos de personas detrás del teclado, y en al menos un caso, el teclado estaba en un dispositivo Android, ya que intentaba diagnosticar un bloqueo de pantalla azul de la muerte que había ocurrido en un dispositivo Android. Máquina de Windows.
Para capturar los dispositivos de tráfico enviados a los dominios que no coinciden, Remy alquiló un servidor privado virtual y creó entradas de búsqueda de dominios comodín para señalarlos. Los registros comodín permiten que el tráfico destinado a diferentes subdominios del mismo dominio (por ejemplo, ntp.whndows.com, abs.xyz.whndows.com o client.wns.whndows.com) se asigne a la misma dirección IP.
«Debido a la naturaleza de esta investigación relacionada con la inversión de bits, esto me permite capturar cualquier búsqueda de DNS para un subdominio de windows.com donde se han invertido varios bits».
Remy dijo que está dispuesto a transferir los 14 dominios a una «parte responsable verificable». Mientras tanto, simplemente los hundirá, lo que significa que conservará las direcciones y configurará los registros DNS para que sean inalcanzables.
«Con suerte, esto genera más investigación»
Pregunté a los representantes de Microsoft si estaban al tanto de los hallazgos y de la oferta de transferir los dominios. Los representantes están trabajando para obtener una respuesta. Sin embargo, los lectores deben recordar que las amenazas que identifica la investigación no se limitan a Windows.
en un Presentación 2019 en la Cumbre de Analistas de Seguridad de Kaspersky, por ejemplo, los investigadores de la firma de seguridad Bishop Fox obtuvieron algunos resultados reveladores después de registrar cientos de variaciones bitflipped de skype.com, symantec.com y otros sitios ampliamente visitados.
Remy dijo que los hallazgos son importantes porque sugieren que los desajustes de dominio inducidos por bitflip ocurren a una escala que es más alta de lo que muchas personas pensaban.
«La investigación anterior se ocupó principalmente de HTTP / HTTPS, pero mi investigación muestra que, incluso con un pequeño puñado de dominios con ocupación de bits, aún puede desviar tráfico mal destinado de otros protocolos de red predeterminados que se ejecutan constantemente, como NTP», Remy dijo en un mensaje directo. «Con suerte, esto genera más investigación en esta área en lo que respecta al modelo de amenazas de los servicios de SO predeterminados».
Actualizar: Muchos comentaristas han señalado que no hay forma de estar seguro de que las visitas a su dominio fueron el resultado de cambios de bits. Los errores tipográficos también pueden ser la causa. De cualquier manera, la amenaza que representa para los usuarios finales sigue siendo la misma.
Actualización 2: Los representantes de Microsoft no respondieron a mis preguntas, pero dijeron: «Conocemos las técnicas de ingeniería social en toda la industria que podrían usarse para dirigir a algunos clientes a un sitio web malicioso».
