1. 程式人生 > >PoC漏洞通過子域名劫持破壞了Microsoft Live帳戶

PoC漏洞通過子域名劫持破壞了Microsoft Live帳戶

糟糕的DNS管理打開了賬戶接管的大門。

概念驗證(PoC)攻擊詳細說明了攻擊者如何在不擁有此人憑據的情況下訪問受害者的Microsoft Live網路郵件會話。它依賴於微軟擁有的Live.com網站子域名劫持

由Cyber​​Int開發的PoC演示了它在Microsoft Live子域(現已修復)中的“高嚴重性漏洞”的特徵,該漏洞本可用於完全由Microsoft帳戶接管。從那裡開始,對手可能會對多個組織及其客戶進行廣泛攻擊。

雖然PoC專門針對固定問題,但它表明會話劫持可以開啟高階攻擊的大門,具體取決於相關域。

子域名 是主要網站的一個區域,可用於託管人力資源資訊,營銷材料,外聯網站點,客戶入口網站,宣傳材料,微型網站等內容; 即marketing.company [。] com,如果它存在,將是公司[。] com的子域。子域URL名稱有時也是託管在雲服務上的內容的別名,或者它們將流量重定向到不同的域 - 這就是問題所在。

當這些子域不再被原始所有者使用時,這些子域可以對會話劫持(即接管)開放,因為許多組織根本不刪除或更新休眠和過期的頁面和帳戶。

“威脅行為者可以檢視目標組織的域名伺服器(DNS)資訊,以確定是否有任何子域記錄配置為重定向或充當過期域或廢棄第三方[雲]服務的別名,”Cyber​​Int解釋說。 ,在與Threatpost共享的白皮書中。“對於過期域名,威脅參與者可以從任何註冊商處購買域名,或者在第三方服務的情況下,使用先前配置或過期的名稱配置新服務以劫持子域名。”

PoC利用後一種策略。使用Cyber​​Int內部開發的工具來查詢易受會話劫持攻擊的子域,它發現了一個名為“Windows Live”的Live.com子域,託管在Azure雲平臺上。子域缺少更新的DNS配置,這為劫持打開了大門。

“許多基於雲的服務允許您為子域進行手動配置,”Cyber​​Int首席研究員Jason Hill在接受採訪時告訴Threatpost。“但是如果託管在該子域上的服務被關閉,並且DNS設定未更新,則URL突然指向未配置的雲服務。這允許其他人進入,配置該雲服務,併為自己的目的使用完全相同的子域名。他們可以登入並有效控制舊身份。“

一旦子域被劫持,威脅行為者就可以利用目標組織的聲譽和合法性來發起一系列攻擊。這包括髮布看似源自目標網站的內容。用例包括髮布旨在造成聲譽損害的虛假內容; 越過黑名單檢查; 託管網路釣魚或魚叉式網路釣魚內容以定位組織的員工或客戶; 製造水坑攻擊; 並利用子域進行Web應用程式攻擊,例如

跨站點請求偽造(CSRF)和跨站點指令碼(XSS),以及身份驗證繞過和帳戶接管。

在Live子域的情況下,Cyber​​Int研究人員決定檢視是否可以進行更高階的攻擊。

“我們希望看到我們能做些什麼,”希爾對威脅經歷說。“我們可以看到Microsoft Live cookie可以配置為可供所有Live子域訪問,因此我們開發了一個PoC程式碼,可以竊取使用者擁有的任何cookie。”

因此,攻擊者可以建立一個 釣魚郵件,說明,登入並更新您的Live帳戶。這可能會將受害者引導到被劫持的子域。這是令人信服的,因為該網站是一個合法的Live.com域名。然後,攻擊者可以編寫一個竊取的指令碼,然後利用被盜的 cookie 來訪問各種服務。

正如該公司在其白皮書中解釋的那樣,“在這種情況下,PoC劫持了一個微軟擁有的live.com子域名,通過託管Flask(Python)應用程式來武器化它,該應用程式將劫持任何訪問受害者的網路郵件會話。”

出於測試目的,此PoC只是擷取受害者的網路郵件收件箱的螢幕截圖 - 儘管該公司表示修改攻擊以執行其他不道德的任務將是“微不足道的”。希爾指出,使用同樣的方法竊取郵箱中的資訊或傳送電子郵件很容易; 此外,該開局將有助於訪問其他Live.com服務上的使用者會話。

雖然Live.com子域名是PoC的主題,但Hill指出之前的研究顯示,96%的財富500強公司都有子域名,其中約四分之一存在子域名劫持的風險。這不是一個新現象,但仍然是雲和網路安全中的一個問題。

“在實踐中,在不斷變化的環境中維護複雜的 DNS配置 可能導致遺忘記錄或無意中的錯誤,”Cyber​​int的報告稱。“如果沒有健全的流程來檢查新記錄並稽核舊記錄,許多人將無法解決錯誤並刪除休眠或過期的條目。”