В феврале 2020 года мы рассказывали о ИБ-специалисте Мишеле Гаше (Michel Gaschet), который на протяжении многих лет информирует компанию Microsoft о многочисленных принадлежащих ей уязвимых поддоменах. Дело в том, что в распоряжении компании имеются тысячи поддоменов, многие из которых могут быть взломаны и использованы для атак на пользователей, сотрудников самой компании, а также для распространения спама, малвари, фишинговых атак и других видов мошенничества.
Чаще всего в таких случаях речь идет о поддоменах с неверно настроенными записями DNS. Так, записи DNS для поддеомена могут указывать на домен, который более не существует. В итоге любой, кто задействует этот несуществующий домен, сможет перехватить и контроль над поддоменом. Таким образом злоумышленник сможет перенаправить посетителей с захваченного поддомена на фишинговый сайт, похитить их учетные данные и другую конфиденциальную информацию, обманным путем заставить установить вредоносное ПО и так далее.
К примеру, поддомен mybrowser.microsoft.com указывает на webserver9000.azurewebsites.net хотя этот экземпляр сервера давно закрыт. Именно такими случаями и могут воспользоваться злоумышленники. Они заводят учетную запись Azure и запрашивают имя хоста webserver9000 или webserver9000.azurewebsites.net. В итоге, когда люди заходят по адресу mybrowser.microsoft.com, их перенаправляют на принадлежащий преступникам webserver9000.azurewebsites.net, где жертвам могут предлагать, например, загрузку малвари под видом обновления для браузера.
Гаше писал, что чаще всего компания либо игнорирует эти сообщения, либо реагирует на проблемы крупных поддоменов, таких как cloud.microsoft.com и account.dpedge.microsoft.com, но оставляет без внимания более мелкие.
Теперь об этой же проблеме со своей позиции рассказали специалисты компании Vullnerability. Они создали автоматизированную систему, которая сканирует все поддомены для ряда важных доменов Microsoft. Это сканирование выявило более 670 поддоменов, которые можно захватить описанным выше способом. К своему отчету эксперты приложили видео, демонстрирующее, как работает атака.
Исследователи уведомили специалистов Microsoft о десятке уязвимых поддоменов, и компании приняла меры, чтобы предотвратить их захват. В их числе были: identityhelp.microsoft.com, mybrowser.microsoft.com, webeditor.visualstudio.com, data.teams.microsoft.com и sxt.cdn.skype.com. Однако исследователи заявили, что не намерены раскрывать полный список, в который входят еще 660+ проблемных поддоменов, пока компания не включит такие типы уязвимостей в свою программу bug bounty.
