へのリンクを見たらmybrowser.microsoft.com、それを信頼しましたか?そこからEdgeのアップデートをダウンロードしてインストールしましたか?identityhelp.microsoft.comパスワードを変更しましたか?
まあ、そうするべきではなかった。なぜなら、この 2 つのサブドメインは、Microsoft が自社のオンライン セキュリティに怠慢であることを証明するために脆弱性研究者によってハイジャックされたサブドメインの中にあったからだ。
つまり、Windows の巨人は、有名企業の microsoft.com、skype.com、visualstudio.com、windows.com のプロパティ上の何百ものサブドメイン (少なくとも 670 個) を、フィッシングやマルウェア配布のために悪意のある人物の手に渡る可能性を放置していたのです。
ケッパー
基本的には、Microsoftのウェブの無茶苦茶な利用に関する過去の報道と似たような仕組みです。このテクノロジーの巨人は、Azureクラウドでホストされているシステムによって提供される、やなどの多数のサブドメインを持っていましたdev.social.microsoft.com。web.visualstudio.com例えば、mybrowser.microsoft.comはのような名前に解決されていたかもしれませんwebserver9000.azurewebsites.net。にアクセスするとmybrowser.microsoft.com、ブラウザはDNS経由で、からページを取得するように指示されていましたwebserver9000.azurewebsites.net。
先ほども述べたように、Microsoft はこうしたサブドメインを多数保有しており、しばらくすると一部のドメインの更新を停止し、放棄してしまいます。しかし、残念ながら、そして決定的に重要なのは、サブドメインの DNS レコードがそのまま残ってしまうことです。そのため、例えば、そのドメインを処理するサーバーインスタンスがずっと前にシャットダウンされた後でも、そのドメインはmybrowser.microsoft.com依然として を指し示し続けることになります。webserver9000.azurewebsites.net
犯罪者はここに潜入します。Azureアカウントを取得し、Webサーバーインスタンスを起動し、ホスト名webserver9000(またはwebserver9000.azurewebsites.netその完全な形式)を要求します。すると、ユーザーが にアクセスするとmybrowser.microsoft.com、犯罪者の に誘導されwebserver9000.azurewebsites.net、ブラウザのアップデートのように見えるダウンロードが提供されますが、実際にはランサムウェアまたはマルウェアです。あるいは、Office 365のユーザー名とパスワードを盗み出すフィッシングページにも誘導されます。お分かりでしょう。
Azure クラウド接続をホワイトリストに登録して Office 365 をスムーズに動かすにはどうすればいいでしょうか? それについて...
続きを読む
このセキュリティ上の欠陥と、リスクのあるサブドメイン約700件は、情報セキュリティ企業VullnerabilityのNuman Ozdemir氏とOzan Agdepe氏によって非公開でMicrosoftに報告されました。ホスト名が乗っ取られる可能性があることを実証するため、彼らはMicrosoftのサブドメイン10個(mybrowser.microsoft.comとを含むidentityhelp.microsoft.com)をAzureでホストされている自社のページにリダイレクトしました。Microsoftは、過去24時間ほどの間に、Vullnerabilityによって開示されたサブドメインを最終的に無効化したようです。
「攻撃者は独自のファイルをアップロードし、独自のデータベースを作成し、トラフィックを追跡し、メインウェブサイトのクローンを作成することができます」と、オズデミール氏とアグデペ氏は、本日の公開に先立ち、今週初めにThe Registerが閲覧した勧告の中で説明しています。「そのため、サブドメインが攻撃者に乗っ取られたのか、それとも実際にはシステム管理者によって管理されているのかを検知することはできません。攻撃者は訪問者の信頼を悪用することで、セキュリティを脅かします。」
オズデミール氏はエル・レグに対し、サブドメインの乗っ取りには技術的なスキルはほとんど必要なく、脆弱なサブドメインに偶然出会うまでの時間にもよるが、乗っ取りには5分から30分程度かかる可能性があると語った。
マイクロソフトの対応は懸念すべきものだ。この危険性については長年認識していたにもかかわらず、DNS管理の杜撰さを崩さず、この問題に対するバグ報奨金の支払いを拒否している。オズデミール氏とアグデペ氏は、マイクロソフトの報奨金制度にはサブドメインのセキュリティも含まれていると主張したが、レドモンド氏はこの解釈に異議を唱えた。
Microsoft が行う必要があるのは、サーバーを廃止するときにサブドメインの DNS エントリを削除すること、または少なくとも HTTP 要求に応答しなくなったサブドメインの DNS エントリを削除することだけです。
「私たちは670以上の脆弱なサブドメインを検出し、多数の脆弱なサブドメインを報告しました」とオズデミール氏は述べた。「私たちは今後もすべての脆弱なサブドメインを報告していきます。そうでなければ、誰もマイクロソフトに報告しないでしょう。これは、訪問者がマイクロソフトのウェブサイトを訪問する際に注意すべき重要な理由です。もしマイクロソフトが私たちの助けを必要としないのであれば、マイクロソフトにはすべてのサブドメインをスキャンし、脆弱なサブドメインをすべて修正するようお願いします。」
「我々が行ったように、DNSレコードとHTTP応答を比較することで、これらの脆弱性を検出できます。」
マイクロソフトの広報担当者はEl Regに対し、「当社はこうした報告を認識しており、マイクロソフトのサービスと顧客を保護するために必要な措置を講じています」と語った。®
