站长之家(ChinaZ.com) 2月20日 消息:据外媒报道,NIC.gp的安全研究员和开发人员Michel Gaschet日前指出,微软在管理其数千个子域方面存在安全问题,其中许多子域可能被劫持并用于攻击用户、员工或显示垃圾内容。
Gaschet表示,在过去三年中,他一直在向微软报告DNS配置错误的子域名,但该公司要么忽略报告,要么悄悄地修复部分有问题的子域。Gaschet称,他在 2017 年向微软报告了 21 个容易被劫持的http://msn.com下的子域名[1,2],然后在 2019 年又报告了 142 个存在配置缺陷的microsoft.com下的子域名[1,2]去年,他还向微软报告的另一个包含 117 个http://microsoft.com子域名的列表。
不过,据称在所有报告上去的有问题的子域名中,微软只解决了几个。研究人员认为,对比他所报告的子域,解决的数目大概在5%到10%之间。
Gaschet发现,微软通常会修复有问题的大型子域名,比如cloud.microsoft.com和account.dpedge.microsoft.com,但其它子域则依旧容易被劫持。研究人员表示,微软大多数存在问题的子域名都是因为DNS的基本配置出现错误。
幸运的是,到目前为止,这些配置错误从未给微软带来任何实质性的损害。也许是那些危险的攻击组织还没注意到这个问题,但不代表不存在威胁。
Gaschet在twitter上指出,至少有一个发送垃圾邮件的组织已经发现,他们可以劫持微软的子域名,将他们的垃圾内容托管在一个信誉良好的域名上来增加传播。Gaschet 在 Twitter 上猜测,微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这意味着即使所报告的问题很严重,这些报告也不会得到优先处理。
对此,微软的一位发言人回应表示:“有关垃圾广告的问题已经得到了缓解。”微软还建议用户在点击链接或打开可能导致他们访问恶意网站的未知文件时保持谨慎,不过微软没有说明这些网站是如何在其域名上托管的,也没有说明Gaschet在Twitter上提出的其他问题。(zdnet)