Microsoft a un problème de détournement de sous-domaine
Un chercheur en sécurité a souligné aujourd’hui que Microsoft avait un problème de gestion de ses milliers de sous-domaines, dont beaucoup peuvent être piratés et utilisés pour des attaques contre les utilisateurs, ses employés ou pour afficher du spam.
Le problème a été soulevé par Michel Gaschet, chercheur en sécurité et développeur pour NIC.gp.
Dans une interview avec ZDNet, Gaschet a déclaré qu’au cours des trois dernières années, il avait signalé des sous-domaines avec des enregistrements DNS mal configurés à Microsoft. La plupart du temps, la société ignore les rapports ou sécurise discrètement certains sous-domaines, mais pas tous.
Gaschet dit avoir signalé 21 sous-domaines msn.com qui étaient vulnérables aux détournements à Microsoft en 2017 [1, 2], puis 142 autres sous-domaines microsoft.com mal configurés en 2019 [1, 2].
En outre, le chercheur a également partagé en privé avec ZDNet une autre liste de 117 sous-domaines microsoft.com qu’il a également signalée à Microsoft l’année dernière.
De tous les sous-domaines mal configurés signalés, Gaschet a déclaré à ZDNet que Microsoft n’en avait traité que quelques-uns. Le chercheur estime le nombre entre 5% et 10% de tous les sous-domaines qu’il a signalés.
La faute au DNS
Gaschet a déclaré à ZDNet que le fabricant du système d’exploitation corrige généralement les gros sous-domaines, comme cloud.microsoft.com et account.dpedge.microsoft.com, mais laisse les autres sous-domaines exposés à des détournements.
Le chercheur a déclaré que la plupart des sous-domaines Microsoft sont sujets à des erreurs de configuration de base dans leurs entrées DNS respectives. Le chercheur indique que ce billet de blog de 2014 de Detectify explique le problème en profondeur.
“La cause profonde / erreur est une entrée DNS oubliée pointant vers quelque chose qui n’existe plus, ou n’a jamais existé, comme une faute de frappe dans le contenu de l’entrée DNS”, a déclaré Gaschet à ZDNet.
Les détournements de sous-domaines conduisent à du spam sur microsoft.com
Mais jusqu’à présent, ces erreurs de configuration n’ont jamais causé de problèmes à Microsoft, bien qu’il s’agisse d’une surface d’attaque attrayante.
Dans un scénario hypothétique, un attaquant pourrait pirater l’un de ces sous-domaines et héberger des pages de phishing pour récolter des informations de connexion pour les employés de Microsoft, les partenaires commerciaux ou même ses utilisateurs finaux. Ce scénario n’a rien d’inédit.
Heureusement, aucun acteur réellement dangereux n’a remarqué ce problème. Malheureusement, d’autres l’ont fait.
Aujourd’hui, Gaschet a souligné sur Twitter qu’au moins un groupe de spam a découvert qu’ils pouvaient détourner les sous-domaines de Microsoft et augmenter la portée de leurs spams en les hébergeant sur un domaine de bonne réputation.
Gaschet dit avoir repéré des publicités pour des casinos de poker indonésiens sur au moins quatre sous-domaines Microsoft légitimes. Il s’agit notamment de portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com et blog-ambassadors.microsoft.com. Les noms de domaines ont été rendus inactifs au moment de la publication.
ZDNet a contacté Microsoft et a demandé à la société de commenter les problèmes soulevés par Gaschet dans un fil Twitter aujourd’hui. Nous n’avons pas eu de réponse avant l’heure de publication de cet article.
Sur Twitter, Gaschet estime que l’une des raisons pour lesquelles Microsoft ne donne pas la priorité à la résolution de ces problèmes est que les «reprises de sous-domaines» ne font pas partie du programme de bug bounty de la société, ce qui signifie qu’aucun rapport n’est priorisé, même en dépit de la gravité des problèmes signalés.
Gaschet, qui est un développeur de NIC.gp, le registrar officiel du domaine de premier niveau .gp Guadeloupe, a exhorté Microsoft à revoir la façon dont il gère ses enregistrements DNS, qui, selon lui, sont à l’origine de la plupart de ces erreurs de configuration.
Source : ZDNet.com
