0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

安全人员提出微软数千个子域容易被劫持

汽车玩家 来源:开源中国 作者:白开水不加糖 2020-02-20 08:31 次阅读

***.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出,Microsoft在其数千个子域的管理方面存在问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。

据ZDNet报道称,Gaschet在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。

Gaschet表示,他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com子域 [1,2],并在 2019 年报告了 142 个错误配置的 microsoft.com 子域[1,2]。此外,他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。

图片:ZDNet

Gaschet透露,在其报告的所有错误配置的子域中,微软仅解决了其中的几个,被修复的数量占比只有他所报告数量的5%-10%左右。并称,该操作系统制造商通常会修复较大的子域,例如cloud.microsoft.com和account.dpedge.microsoft.com,却使其他子域暴露在劫持之下。

他还表示,大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet称,“根本原因/错误是忘记了 DNS 条目,指向不再存在或根本不存在的内容,例如 DNS 条目内容中的错字。”

Gaschet 在 Twitter上指出,至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域,并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明,他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克***的广告,分别为portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com和blog-ambassadors.microsoft.com。

目前,ZDNet 已向微软征求意见,并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。

Gaschet 在 Twitter 上猜测,微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这意味着即使所报告的问题很严重,这些报告也不会得到优先处理。

同时,Gaschet 敦促微软改变其管理 DNS 记录的方式。并称,这是造成这些错误配置的主要原因。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微软
    +关注

    关注

    4

    文章

    6598

    浏览量

    104065
收藏 人收藏

    评论

    相关推荐

    labview关于界面和vi的求助

    我现在想把几个子vi用sub pannel放到主程序前面板上,一般的做法是将所有的vi先运行,然后用sub pannel不停的insert和remove实现vi的切换。但是我现在不希望同时运行所有的vi,我希望在切换到这
    发表于 12-10 11:16

    入门web安全笔记分享

    请求伪造CSRF 五、应用逻辑漏洞 六、跨站脚本攻击XSS 七、SQL 注入 八、开放重定向漏洞 九、劫持
    的头像 发表于 12-03 17:04 277次阅读
    入门web<b class='flag-5'>安全</b>笔记分享

    科技完成数千万元A轮融资

    近日,上海谱科技有限公司成功完成数千万元人民币的A轮融资,本轮融资由信熹资本和几理创投联合投资。
    的头像 发表于 10-11 16:59 389次阅读

    芯片巨头计划大裁员!波及数千岗位!

    来源:EETOP 编辑:感知芯视界 Link 据彭博社本周二援引知情人士的话报道,英特尔计划削减数千个工作岗位,旨在为公司的复苏提供资金并应对市场份额的侵蚀。计划最早可能在本周宣布。 这一消息公布前
    的头像 发表于 08-02 09:55 471次阅读

    微软、英伟达、OpenAI等公司宣布成立安全人工智能联盟

    7月19日,国际科技界传来重要消息,随着OpenAI的ChatGPT引领生成式人工智能(AI)领域掀起热潮,微软、谷歌、Meta等科技巨头纷纷加大在这一前沿技术的投资力度,推动大语言模型不断涌现
    的头像 发表于 07-19 16:37 600次阅读

    艾体宝干货 老牌科技企业也难幸免的域名劫持是什么?

    域名劫持严重威胁企业的网络安全。著名案例包括Google越南、Perl编程语言官网和联想集团官网的域名劫持事件。为预防域名劫持,建议使用强认证、定期更新密码、监控域名到期日期、限制访问
    的头像 发表于 07-05 14:03 286次阅读
    艾体宝干货  老牌科技企业也难幸免的域名<b class='flag-5'>劫持</b>是什么?

    蓝牙中开启自定义服务之后,添加了一个子服务,怎么添加第二服务啊?

    蓝牙中开启自定义服务之后,添加了一个子服务,怎么添加第二服务啊 按照我的理解,在创建第一个子服务时候,改变属性以及UUID后再添加一次就可以,但是不行啊; case
    发表于 06-19 08:32

    微软Azure云部门裁员数千

    微软近日宣布,其Azure云部门将进行大规模裁员,涉及数百名员工,成为今年科技和媒体行业裁员潮的又一重击。
    的头像 发表于 06-04 11:25 672次阅读

    使用Vela IF820 DVK和EZ-Serial,传输几千个字节时,接收端会丢失数据的原因?

    我正在使用 Vela IF820 DVK(带 MHF4 连接器)和 EZ-Serial,使用 BT Classic SPP 配置文件进行串行电缆更换应用。 传输几百字节时运行正常,但传输几千个
    发表于 05-24 08:18

    蓝星光完成数千万元A+轮融资

    近日,蓝星光(上海)航天科技有限公司成功完成了数千万元的A+轮融资,标志着公司实力的进一步增强。此次融资所得资金将主要用于扩大产线规模,推进技术迭代以及产品测试验证等关键领域。截至目前,蓝星光在A轮系列融资中已累计募资近1.
    的头像 发表于 05-15 09:25 426次阅读

    微软即将发布AI安全产品

    微软,全球知名的技术巨头,近日宣布将于4月1日发布一款全新的人工智能工具,旨在帮助网络安全人员更有效地应对网络威胁,揭露黑客的狡猾手段。这一举措再次证明了微软在人工智能领域的创新实力,以及对网络
    的头像 发表于 03-16 14:19 1063次阅读

    手动检测是否被入侵

    Gitlab代码是否又被修改过,用gitdiff查看 查看代码的日志 代码是否有被改动过 查看服务器日志 是否有被劫持 查看登录记录 查看非法sql语句执行记录
    发表于 02-29 10:45 1029次阅读

    思科计划裁员5%,达数千

    2月14日,思科(Cisco)宣布最新一季财报,同时表示,作为全公司重组的一部分,计划裁员5%,达数千人。主要原因是客户仍处「去库存」阶段,导致思科保守看待营运展望。
    的头像 发表于 02-19 14:43 925次阅读

    光纤激光器的工作原理 光子和声激光器的实验装置

    ,迄今为止实现的所有激光器都只在一物理域中产生了激光。在此,Wang等人提出了一在两不同的物理域中产生激光的耦合振荡器系统,由同一源泵浦。基于长寿命弯曲声波介导的前向互调受激布里
    的头像 发表于 01-19 09:51 1190次阅读
    双<b class='flag-5'>域</b>光纤激光器的工作原理 光子和声<b class='flag-5'>子</b>双<b class='flag-5'>域</b>激光器的实验装置

    如何处理跨时钟这些基础问题

    对于数字设计人员来讲,只要信号从一时钟跨越到另一时钟,那么就可能发生亚稳态。我们称为“跨时钟
    发表于 01-08 09:39 648次阅读
    如何处理跨时钟<b class='flag-5'>域</b>这些基础问题