Журналисты издания ZDNet взяли интервью у ИБ-специалиста Мишеля Гаше (Michel Gaschet) из NIC.gp. Исследователь рассказал, что у компании Microsoft есть большая проблема с управлением тысячами поддоменов, многие из которых могут быть взломаны и использованы для атак на пользователей, сотрудников самой компании или для распространения спама.

В течение последних трех лет Гаше регулярно сообщал Microsoft о поддоменах с неверно настроенными записями DNS, но компания либо игнорировала эти сообщения, либо исправляла проблемы для некоторых поддоменов (но не для всех).

По данным специалиста, в 2017 году он сообщил компании о 21 уязвимом для атак поддомене msn.com (1, 2), а в 2019 году еще о 142 неправильно настроенных поддоменах microsoft.com (1, 2). Исследователь поделился с журналистами списком, в который вошли 117 проблемных поддоменов microsoft.com, о которых он информировал Microsoft в прошлом году. К сожалению, компания устранила лишь некоторые из этих проблем. Исследователь считает, что компания обезопасила только 5-10% этих поддоменов.

Гашет объяснил, что компания обычно реагирует на проблемы крупных поддоменов, таких как cloud.microsoft.com и account.dpedge.microsoft.com, но оставляет без внимания более мелкие.

Корень проблемы заключается в том, что многие поддомены Microsoft имеют ошибки в конфигурации записей DNS. Самая распространенная проблема: забытая запись DNS, указывающая на нечто несуществующее или никогда не существовавшее (к примеру, опечатка в содержимом записи DNS). По словам Гашета, сообщение в блоге Detectify от 2014 года хорошо освещало данную проблему.

К счастью, ранее все эти ошибки конфигурации не вызывали у Microsoft каких-либо проблем, хотя в теории злоумышленник мог бы захватить один из таких поддоменов и разместить на нем фишинговые страницы для сбора учетных данных сотрудников Microsoft, деловых партнеров компании или даже конечных пользователей.

Увы, недавно Гашет обнаружил, что как минимум одна преступная группа все же заметила многообещающую проблему: реклама индонезийских казино появилась по крайней мере на четырех легитимных поддоменах Microsoft, включая portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com и blog-ambassadors.microsoft.com.

В своем Twitter эксперт предположил, что одна из причин, по которой устранение таких проблем не является для Microsoft приоритетной задачей, заключается в том, что захват доменов не входит в официальную bug bounty программу компании, а значит, любые отчеты такого рода не получают приоритета, несмотря на серьезность проблем.

