Исследователи из шведской компании Detectify изучили довольно распространённую угрозу безопасности: забытые поддомены. Многие крупные компании открывают на основном домене десятки поддоменов, связывая DNS-записи с посторонними доменами для служебных целей, а потом забывают про них. Со временем срок регистрации сторонних доменов истекает — и их может подобрать любой посторонний. В результате перед ним открывается сразу несколько векторов атаки.
Во-первых, на зарегистрированном домене можно поднять вредоносный сайт, куда заманивать жертв, показывая им вызывающий доверие адрес.
Авторы исследования продемонстрировали такую атаку на практике. Они обнаружили, что компания Microsoft много лет назад запустила поддомен racing.msn.com и связала его DNS-запись с доменом msnbrickyardsweeps.com. С тех пор прошло много времени, и срок регистрации указанного домена истёк. Соответственно, шведы зарегистрировали адрес msnbrickyardsweeps.com и перенаправили его на поиск Bing. Так что если вы попробуете сейчас набрать в адресной строке racing.msn.com, то попадёте на поиск Bing. Это просто proof-of-concept, а на месте Bing могло быть что-нибудь гораздо более опасное.
Кроме того, почти всегда можно использовать забытый поддомен для рассылки почты с адреса @racing.msn.com. Опять же, ценная возможность для фишинга.
Проведённое сканирование выявило более 200 крупных организаций, подверженных этой уязвимости, говорит Шимон Грушецки (Szymon Gruszecki) из компании Detectify. Среди них есть довольно крупные корпорации и сайты, входящие в топ-100 самых посещаемых сайтов по версии Alexa.
Для проверки домена на подобную уязвимость, которой дали название Red October, исследователи запустили онлайновый сканер redoctober.detectify.com.
