Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 17
ストーリー by headless
放置 部門より
放置 部門より
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事、 BetaNewsの記事、 The Registerの記事)。
サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。
Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。
サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。
Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。
黒塗りのDNS (スコア:1)
ご参考まで http://www.e-ontap.com/dns/ssmjp/#(4) [e-ontap.com]
えっ (スコア:0)
報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨
そんな事簡単に言うけど可能なのか?
Re:えっ (スコア:2)
そもそも、Microsoftが自分で調べて対応することがふつうに可能なのでは?
Re: (スコア:0)
なんでユーザー向けの回避策と管理者(Microsoft)向けの根本対策をごっちゃにしてるの?
Re: (スコア:0)
山籠もり
Re: (スコア:0)
Amazon(aws含む)やGoogle(gcp含む)を回避する程度には簡単だと思いますよ
気をつけていれば回避可能 (スコア:0)
せめてもの救いはMicrosoftはワイルドカード証明書を使ってない(はず)ので、SSL証明書を確認すれば回避できる。
ソフトウェアのインストール時は最低限の防衛としてサイト・プログラム共に証明書を確認するべき。
Re: (スコア:0)
証明書を確認しても提供者の証明にならないことがある
(Webページを作成・公開可能なサービスをサブドメインが指しており、
ワイルドカード証明書の場合)という意味で、
本当に最低限にしかならないことがあるというのは勉強になりました。
Re: (スコア:0)
サブドメイン名を乗っ取ってしまえば、DV 証明書も取得できるので普通の人には見破れないでしょう。
トルコのハッカーも変わったもんだ (スコア:0)
昔はクラッキングしてZone-Hに報告して放置だったのに、今や賞金稼ぎか。
転売ヤーみたいな人間性 (スコア:0)
>Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと
Re: (スコア:0)
いや全然違うやん。
何でもタダにしろマンとか
典型的な日本人のitに対する考えたやな。
Re: (スコア:0)
いや全然違うやん。
何でもタダにしろマンとか
典型的な日本人のitに対する考えたやな。
典型的な日本人「ランサムウェアが金を要求するのはおかしい、無料にすべき」
Re: (スコア:0)
典型的な日本人「ランサムウェアの回避方法があるなら、無料で公開すべき、お金を取るのはおかしい」
Re: (スコア:0)
アンチにとっちゃ罰金代わりなので。
日本企業だったら (スコア:0)
ISPを遮断して警察が逮捕してくれるのに
Re: (スコア:0)
中国やロシアのハッカーには無力だけどね