パスワードを忘れた? アカウント作成
14129444 story
インターネット

Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 17

ストーリー by headless
放置 部門より
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事BetaNewsの記事The Registerの記事)。

サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。

Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年03月08日 10時26分 (#3775170)

    ご参考まで http://www.e-ontap.com/dns/ssmjp/#(4) [e-ontap.com]

  • by Anonymous Coward on 2020年03月07日 20時49分 (#3775037)

    報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨

    そんな事簡単に言うけど可能なのか?

    • by hjmhjm (39921) on 2020年03月08日 14時42分 (#3775231)

      そもそも、Microsoftが自分で調べて対応することがふつうに可能なのでは?

      親コメント
      • by Anonymous Coward

        なんでユーザー向けの回避策と管理者(Microsoft)向けの根本対策をごっちゃにしてるの?

    • by Anonymous Coward

      山籠もり

    • by Anonymous Coward

      Amazon(aws含む)やGoogle(gcp含む)を回避する程度には簡単だと思いますよ

  • by Anonymous Coward on 2020年03月08日 0時23分 (#3775102)

    せめてもの救いはMicrosoftはワイルドカード証明書を使ってない(はず)ので、SSL証明書を確認すれば回避できる。

    ソフトウェアのインストール時は最低限の防衛としてサイト・プログラム共に証明書を確認するべき。

    • by Anonymous Coward

      証明書を確認しても提供者の証明にならないことがある
      (Webページを作成・公開可能なサービスをサブドメインが指しており、
       ワイルドカード証明書の場合)という意味で、

      本当に最低限にしかならないことがあるというのは勉強になりました。

    • by Anonymous Coward

      サブドメイン名を乗っ取ってしまえば、DV 証明書も取得できるので普通の人には見破れないでしょう。

  • by Anonymous Coward on 2020年03月08日 5時48分 (#3775133)

    昔はクラッキングしてZone-Hに報告して放置だったのに、今や賞金稼ぎか。

  • by Anonymous Coward on 2020年03月08日 6時35分 (#3775136)

    >Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと

    • by Anonymous Coward

      いや全然違うやん。
      何でもタダにしろマンとか
      典型的な日本人のitに対する考えたやな。

      • by Anonymous Coward

        いや全然違うやん。
        何でもタダにしろマンとか
        典型的な日本人のitに対する考えたやな。

        典型的な日本人「ランサムウェアが金を要求するのはおかしい、無料にすべき」

        • by Anonymous Coward

          典型的な日本人「ランサムウェアの回避方法があるなら、無料で公開すべき、お金を取るのはおかしい」

    • by Anonymous Coward

      アンチにとっちゃ罰金代わりなので。

  • by Anonymous Coward on 2020年03月08日 9時57分 (#3775163)

    ISPを遮断して警察が逮捕してくれるのに

    • by Anonymous Coward

      中国やロシアのハッカーには無力だけどね

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...