Microsoft等微软系网站被发现存在子域劫持问题

安全资讯 作者:MCbang 2020-02-24 06:16:43 阅读:590

NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出,Microsoft 在其数千个子域的管理方面存在问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。据 ZDNet 报道称,Gaschet 在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。

Gaschet 表示,他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com 子域 [1, 2],并在 2019 年报告了 142 个错误配置的 microsoft.com 子域 [1, 2]。此外,他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。

Gaschet 透露,在其报告的所有错误配置的子域中,微软仅解决了其中的几个,被修复的数量占比只有他所报告数量的 5%-10% 左右。并称,该操作系统制造商通常会修复较大的子域,例如 cloud.microsoft.com 和 account.dpedge.microsoft.com,却使其他子域暴露在劫持之下。

他还表示,大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet 称,“根本原因/错误是忘记了 DNS 条目,指向不再存在或根本不存在的内容,例如 DNS 条目内容中的错字。”

Gaschet 在 Twitter 上指出,至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域,并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明,他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克赌场的广告,分别为 portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com 和 blog-ambassadors.microsoft.com。

目前,ZDNet 已向微软征求意见,并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。

Gaschet 在 Twitter 上猜测,微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这意味着即使所报告的问题很严重,这些报告也不会得到优先处理。

同时,Gaschet 敦促微软改变其管理 DNS 记录的方式。并称,这是造成这些错误配置的主要原因。


延伸阅读
  • PC与Android合体 微软宣布Win11安卓子系统下月全面开放

    2021年6月份微软宣布Win11系统的时候,支持安卓应用可以说是当时最受期待的功能了,去年底开始在开发版Win11上实装,现在微软已经确认2月份的Win11系统升级会全面开放该功能,不用参与insi

  • 九安医疗回应收购微软

    大牛股九安医疗(002432)1月24日早间在深交所互动平台互动易上,回答投资者提出的是否考虑收购美国微软的问题时表示,微软是世界上受众人尊敬的公司,公司的体量没有任何可能收购微软。截屏图虽然九安医疗

  • 苹果App Store限制微软谷歌云游戏服务 只能用自家Arcade

    据国外媒体报道,虽然微软和谷歌等公司都推出了备受欢迎的云游戏服务,但受苹果公司App Store应用商店规则的限制,这些服务很难接触到10多亿iOS用户。​由于苹果、微软、谷歌和英伟达(Nvidia)等公司纷纷推出了 ...

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
下软件就上简单下载站:https://www.jdsec.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接