Microsoft tiene un problema de secuestro de subdominio

Un investigador de seguridad ha señalado hoy que Microsoft tiene un problema en la gestión de sus miles de subdominios, muchos de los cuales pueden ser secuestrados y utilizados para ataques contra usuarios, sus empleados o para mostrar contenido no deseado.

El problema ha sido presentado hoy por Michel Gaschet, investigador de seguridad y desarrollador de NIC.gp.

En una entrevista con ZDNet, Gaschet dijo que durante los últimos tres años, ha estado reportando subdominios con registros DNS mal configurados a Microsoft, pero la compañía ha estado ignorando informes o asegurando silenciosamente algunos subdominios, pero no todos.

Investigador: solo se solucionó el 5% -10%

Gaschet dice que reportó 21 subdominios de msn.com que eran vulnerables a los secuestros a Microsoft en 2017 (1, 2), y luego otros 142 subdominios de microsoft.com mal configurados en 2019 (1, 2)

Además, el investigador también compartió en privado con ZDNet otra lista de 117 subdominios de microsoft.com que también informó a Microsoft el año pasado.

De todos los subdominios mal configurados reportados, Gaschet dijo ZDNet que Microsoft solo se dirigió a unos pocos. El investigador coloca el número en algún lugar entre el 5% y el 10% de todos los subdominios que informó.

Culpar a las configuraciones incorrectas de DNS

Gaschet le dijo a ZDNet que el fabricante del sistema operativo generalmente corrige subdominios grandes, como cloud.microsoft.com y account.dpedge.microsoft.com, pero deja los otros subdominios expuestos a secuestros.

El investigador dijo que la mayoría de los subdominios de Microsoft son vulnerables a las configuraciones básicas incorrectas en sus respectivas entradas DNS. El investigador dice esto Publicación de blog 2014 de Detectify explica el problema en profundidad.

«La causa / mistake raíz es una entrada DNS olvidada que apunta a algo que ya no existe o que nunca existió, como un error tipográfico en el contenido de la entrada DNS», dijo Gaschet. ZDNet.

Los secuestros de subdominio generan spam en microsoft.com

Pero hasta ahora, estas configuraciones incorrectas nunca le han causado a Microsoft ningún problema o dolor de cabeza, a pesar de ser una superficie de ataque atractiva.

En un escenario hipotético, un atacante podría secuestrar uno de estos subdominios y alojar páginas de phishing para obtener credenciales de inicio de sesión para empleados de Microsoft, socios comerciales o incluso sus usuarios finales.

El escenario no es algo que no se haya visto antes.

Afortunadamente, ningún grupo de amenazas peligrosas ha notado este problema.

Lamentablemente, otros lo han hecho.

Hoy, Gaschet señaló en Twitter que al menos un grupo de spam ha descubierto que podrían secuestrar los subdominios de Microsoft y aumentar su contenido de spam alojándolo en un dominio de buena reputación.

Gaschet dice que vio anuncios de casinos de póker indonesios en al menos cuatro subdominios legítimos de Microsoft. Éstos incluyen portal.ds.microsoft.com, best10.microsoft.com, ies.global.microsoft.comy weblog-ambassadors.microsoft.com.

Los anuncios de spam todavía están activos en el momento de la escritura.

ZDNet contactó a Microsoft y le pidió a la compañía que comentara sobre una serie de problemas planteados por Gaschet en un hilo de Twitter hoy. No hemos tenido noticias antes de la publicación de este artículo.

En Twitter, Gaschet supuso que una de las razones por las cuales Microsoft no prioriza la solución de estos problemas es porque las «adquisiciones de subdominios» no son parte del programa de recompensas de errores de la compañía, lo que significa que no se priorizan los informes, incluso a pesar de la gravedad de los problemas. siendo reportado.

Gaschet, desarrollador de NIC.gp, el registrador oficial del dominio de nivel exceptional .gp de Guadalupe, instó a Microsoft a renovar la forma en que administra sus registros DNS, que según él son la fuente de la mayoría de estas configuraciones erróneas.