Следующая новость
Предыдущая новость

Злоумышленники компрометируют поддомены Microsoft

20.02.2020 0:12
Злоумышленники компрометируют поддомены Microsoft

Рекомендуем почитать:

Xakep #249. Wi-Fi

  • Содержание выпуска
  • Подписка на «Хакер»

Журналисты издания ZDNet взяли интервью у ИБ-специалиста Мишеля Гаше (Michel Gaschet) из NIC.gp. Исследователь рассказал, что у компании Microsoft есть большая проблема с управлением тысячами поддоменов, многие из которых могут быть взломаны и использованы для атак на пользователей, сотрудников самой компании или для распространения спама.

В течение последних трех лет Гаше регулярно сообщал Microsoft о поддоменах с неверно настроенными записями DNS, но компания либо игнорировала эти сообщения, либо исправляла проблемы для некоторых поддоменов (но не для всех).

По данным специалиста, в 2017 году он сообщил компании о 21 уязвимом для атак поддомене msn.com (1, 2), а в 2019 году еще о 142 неправильно настроенных поддоменах microsoft.com (1, 2). Исследователь поделился с журналистами списком, в который вошли 117 проблемных поддоменов microsoft.com, о которых он информировал Microsoft в прошлом году. К сожалению, компания устранила лишь некоторые из этих проблем. Исследователь считает, что компания обезопасила только 5-10% этих поддоменов.

Злоумышленники компрометируют поддомены Microsoft

Гашет объяснил, что компания обычно реагирует на проблемы крупных поддоменов, таких как cloud.microsoft.com и account.dpedge.microsoft.com, но оставляет без внимания более мелкие.

Корень проблемы заключается в том, что многие поддомены Microsoft имеют ошибки в конфигурации записей DNS. Самая распространенная проблема: забытая запись DNS, указывающая на нечто несуществующее или никогда не существовавшее (к примеру, опечатка в содержимом записи DNS). По словам Гашета, сообщение в блоге Detectify от 2014 года хорошо освещало данную проблему.

К счастью, ранее все эти ошибки конфигурации не вызывали у Microsoft каких-либо проблем, хотя в теории злоумышленник мог бы захватить один из таких поддоменов и разместить на нем фишинговые страницы для сбора учетных данных сотрудников Microsoft, деловых партнеров компании или даже конечных пользователей.

Увы, недавно Гашет обнаружил, что как минимум одна преступная группа все же заметила многообещающую проблему: реклама индонезийских казино появилась по крайней мере на четырех легитимных поддоменах Microsoft, включая portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com и blog-ambassadors.microsoft.com.

В своем Twitter эксперт предположил, что одна из причин, по которой устранение таких проблем не является для Microsoft приоритетной задачей, заключается в том, что захват доменов не входит в официальную bug bounty программу компании, а значит, любые отчеты такого рода не получают приоритета, несмотря на серьезность проблем.

https://t.co/XAJfbsE4ht

This kind of stuff, this is what you get by putting subdomain takeover out of scope, and don't fix critical subdomain takeover from good peoples, rarely thanks them and generally not respond to them. Great job, @msftsecresponse 👏

— Michel Gaschet (@Michel_Gaschet) February 18, 2020

Уже после выхода публикации представители Microsoft связалась с ZDNet и сообщили, что связанная с рекламным спамом проблема была решена. Также в компании напомнили, что пользователям в целом стоит проявлять бдительность при переходе по ссылкам и открытии неизвестных файлов. При этом представители Microsoft не стали отвечать на поднятые Гашетом вопросы, в частности о том, каким образом опасные сайты оказываются размещены на поддоменах самой Microsoft.

Фото: ZDNet

Источник

Последние новости