Een beveiligingsonderzoeker die zichzelf Remi noemt, heeft voor een onderzoek naar bitflipping 14 Windows-domeinnamen met een typfout gekocht om te kijken hoe vaak deze worden opgevraagd door Windows-systemen.
Remi baseert zijn onderzoek op een ouder onderzoek uit 2010, waaruit bleek dat een computer met 4 GB Ram 96 procent kans heeft om binnen drie dagen te maken te krijgen met een bitflip. De onderzoeker wilde kijken hoe bitflips de veiligheid van Windows-gebruikers in het geding kon brengen. Remi keek daarvoor specifiek naar het aantal keren dat clients verbinding proberen te maken met het windows.com-domein.
Door een bitflip zou er een letter in de domeinnaam kunnen wijzigen en er een aangepast verzoek worden verstuurd. Remi heeft alle 32 domeinnamen die één flip afweken van windows.com onderzocht en kwam erachter dat er 14 domeinnamen bestonden die niet worden gebruikt. Om te voorkomen dat criminelen deze domeinnamen zouden misbruiken, heeft de onderzoeker alle domeinnamen gekocht. Vervolgens hield hij deze domeinnamen in de gaten om te kijken hoeveel requests er terecht zouden komen.
| 1110111 | 1101001 | 1101110 | 1100100 | 1101111 | 1110111 | 1110011 |
|---|---|---|---|---|---|---|
| w | i | n | d | o | w | s |
| 1110111 | 1101000 | 1101110 | 1100100 | 1101111 | 1110111 | 1110011 |
| w | h | n | d | o | w | s |
Na de domeinen twee weken lang te hebben gemonitord zag de onderzoeker dat er 199.180 verzoeken waren geweest vanaf 626 unieke ip-adressen. Remi richtte zich in zijn onderzoek vooral op de verzoeken die verbinding trachtte te maken met ntp.windows.com om de juiste tijd en datum op te halen. Remy zegt dat er geen enkele vorm van controle wordt toegepast op deze verbinding, waardoor kwaadwillenden bijvoorbeeld een tijdswaarde kunnen doorgeven die groter is dan 32 bit-intergerwaarde en zo een time overflow kunnen veroorzaken.
Hoewel de onderzoeker niet met zekerheid kan zeggen of alle verzoeken daadwerkelijk door bitflipping zijn veroorzaakt, hoopt hij wel dat er meer onderzoek gedaan wordt naar dit fenomeen. Hij is bereid de gekochte domeinnamen over te dragen naar een betrouwbare partij om misbruik te voorkomen, tot die tijd blijft hij eigenaar van de adressen en zorgt hij ervoor dat niemand anders er iets mee kan doen. Remi heeft zich alleen gericht op Windows, maar bitflipping is een hardwareprobleem waar elk besturingssysteem gevoelig voor is. Microsoft is niet ingegaan op vragen van de onderzoeker.
Bron: Remyhax
