Badacze przejęli subdomeny Microsoft.com, by wykazać słabość zabezpieczeń giganta

Badacze przejęli subdomeny Microsoft.com, by wykazać słabość zabezpieczeń giganta

 Krzysztof Sulikowski
Krzysztof Sulikowski
14:09
05.03.2020
508 wyświetleń

Adresy, takie jak mybrowser.microsoft.com albo identityhelp.microsoft.com mogą wzbudzać zaufanie. W końcu należą do domeny Microsoft.com, więc ich zawartość powinna pochodzić bezpośrednio od Microsoftu. Cóż, nie tym razem. Te dwa adresy znalazły się pośród przejętych subdomen. Porwania dokonali badacze zabezpieczeń, aby udowodnić, że Microsoft ma braki w zabezpieczeniach własnych zasobów.

Microsoft umożliwił setkom subdomen (przynajmniej 670) w ramach domen microsoft.com, skype.com, visualstudio.com i windows.com trafienie w ręce potencjalnych przestępców, którzy mogą je wykorzystać do ataków phishingowych i dystrybucji złośliwego oprogramowania. Microsoft ma w swojej domenie całe mnóstwo subdomen, takich jak dev.social.microsoft.com i web.visualstudio.com, obsługiwanych przez systemy hostowane w chmurze Azure. Przykładowo mybrowser.microsoft.com może prowadzić do czegoś w rodzaju webserver9000.azurewebsites.net. Gdy odwiedzimy mybrowser.microsoft.com, przeglądarka zostanie przekierowana przez DNS do strony z webserver9000.azurewebsites.net. Niektóre ze stron giganta przestały być aktualizowane i zostały porzucone. Niestety rekordy DNS subdomen pozostały na miejscu i przykładowo mybrowser.microsoft.com nadal odnosi się do webserver9000.azurewebsites.net, mimo że instancja serwera obsługująca go już od dawna jest wyłączona.

Tę sytuację wykorzystali badacze, ale równie dobrze mogą to zrobić przestępcy. Korzystając z konta Azure, ustawili instancję serwera i zażądali nazwy hosta webserver9000 lub webserver9000.azurewebsites.net w jej pełnej formie. Odtąd, gdy ludzie odwiedzają mybrowser.microsoft.com, są kierowani do należącego do badaczy (tudzież przestępców) webserver9000.azurewebsites.net, który zachęca do pobrania aktualizacji przeglądarki, w rzeczywistości instalując ransomware lub malware. Może też stosować phishing, np. wyłudzając dane logowania Office 365.

Zbiór blisko 700 ryzykownych subdomen badacze zabezpieczeń z Vullnerability przedstawili Microsoftowi. Wygląda na to, że w przeciągu 24 godzin firma dezaktywowała podatne subdomeny. Badacze nie otrzymali jednak nagród za znalezienie podatności.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://www.theregister.co.uk/2020/03/04/microsoft_subdomain_takeover/

Polecamy również w kategorii Bezpieczeństwo