パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2020年3月7日のセキュリティ記事一覧(全1件)
14129444 story
インターネット

Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 17

ストーリー by headless
放置 部門より
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事BetaNewsの記事The Registerの記事)。

サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。

Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...