0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

安全人员提出微软数千个子域容易被劫持

汽车玩家 来源:开源中国 作者:白开水不加糖 2020-02-20 08:31 次阅读
加入交流群
微信小助手二维码

扫码添加小助手

加入工程师交流群

***.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出,Microsoft在其数千个子域的管理方面存在问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。

据ZDNet报道称,Gaschet在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。

Gaschet表示,他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com子域 [1,2],并在 2019 年报告了 142 个错误配置的 microsoft.com 子域[1,2]。此外,他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。

图片:ZDNet

Gaschet透露,在其报告的所有错误配置的子域中,微软仅解决了其中的几个,被修复的数量占比只有他所报告数量的5%-10%左右。并称,该操作系统制造商通常会修复较大的子域,例如cloud.microsoft.com和account.dpedge.microsoft.com,却使其他子域暴露在劫持之下。

他还表示,大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet称,“根本原因/错误是忘记了 DNS 条目,指向不再存在或根本不存在的内容,例如 DNS 条目内容中的错字。”

Gaschet 在 Twitter上指出,至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域,并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明,他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克***的广告,分别为portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com和blog-ambassadors.microsoft.com。

目前,ZDNet 已向微软征求意见,并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。

Gaschet 在 Twitter 上猜测,微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这意味着即使所报告的问题很严重,这些报告也不会得到优先处理。

同时,Gaschet 敦促微软改变其管理 DNS 记录的方式。并称,这是造成这些错误配置的主要原因。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微软
    +关注

    关注

    4

    文章

    6752

    浏览量

    108076
收藏 人收藏
加入交流群
微信小助手二维码

扫码添加小助手

加入工程师交流群

    评论

    相关推荐
    热点推荐

    万里红入选2025“铸基计划”高质量数字化转型典型案例集

    近日,由中国信通院评选的2025“铸基计划”《高质量数字化转型典型案例集》正式发布,北京万里红科技有限公司(以下简称:万里红)自主研发的核心产品——数智密脑凭借在数据安全治理、智能保密管控、数智化协同赋能领域的创新突破与卓越实践,从全国数千个申报案例中脱颖而出,成功入选!
    的头像 发表于 04-22 10:09 223次阅读

    浪潮信息直播发布业界首个企业级OpenClaw方案“企虾”

    本地化部署,通过沙箱隔离与底层系统级管控,从根源上解决OpenClaw私有化部署中的安全风险与权限管控难题。方案深度融合开源项目ClawManager,支持在本地私有化环境中,数千个OpenClaw实例
    的头像 发表于 04-05 17:44 2083次阅读

    Nginx高并发连接调优实战手册

    Nginx 的高性能源自其事件驱动架构。与 Apache 的"每连接一线程"模型不同,Nginx 使用单线程事件循环处理数千个并发连接。理解这套架构是调优的前提。
    的头像 发表于 03-16 15:28 404次阅读

    ZigBee模块,在工业场景下,低功耗到底有什么用?

           在工业物联网的宏大叙事中,“连接”是基石,而“续航”往往是那块最容易被忽视、却最致命的短板!        想象一下这样的场景:在一占地数万平方米的化工厂区,数千个分布在管道阀门
    的头像 发表于 03-14 18:06 115次阅读

    视觉荣获DEKRA德凯ISO 26262 ASIL-B功能安全认证

    近日,华视觉科技(上海)有限公司(以下简称“华视觉”)的Camera Monitor System(CMS)项目顺利通过DEKRA德凯ISO 26262 ASIL-B功能安全认证,并正式获得认证
    的头像 发表于 01-28 15:39 492次阅读

    行业观察 | 微软1月修复112漏洞,其中1正被黑客主动利用

    2026年1月微软“补丁星期二”正式推送,本次共发布了112微软安全补丁,并重新发布了3微软
    的头像 发表于 01-22 16:58 1450次阅读
    行业观察 | <b class='flag-5'>微软</b>1月修复112<b class='flag-5'>个</b>漏洞,其中1<b class='flag-5'>个</b>正被黑客主动利用

    什么是位

    数据结构,称为“位”或“位段”。 所谓“位”是把一字节中的二进位划分为几个不同的区域,并说明每个区域的位数。 每个有一域名,允
    发表于 12-15 08:07

    微软 Ignite 2025 大会:Splashtop 全面强化微软环境的安全与效率

    在近日举办的微软Ignite2025大会上,Splashtop宣布其面向微软生态的解决方案持续增长。作为微软智能安全协会(MISA)核心成员,Splashtop方案深度集成
    的头像 发表于 11-28 16:57 1647次阅读
    <b class='flag-5'>微软</b> Ignite 2025 大会:Splashtop 全面强化<b class='flag-5'>微软</b>环境的<b class='flag-5'>安全</b>与效率

    针对AES算法的安全防护设计

    软件中随机延迟的使用通常被认为是对抗侧信道攻击的一般对策,但随机延迟不能阻止攻击,只能让攻击变得复杂。因此基于蜂鸟E203平台的软硬件实现方式,我们的安全防护设计也会从软件和硬件两方面进行联合
    发表于 10-28 07:38

    如何确保电能质量在线监测装置频率偏差测量功能远程校准的安全性?

    确保电能质量在线监测装置频率偏差测量功能远程校准的安全性,需围绕“通信不被劫持、指令不被篡改、身份不被伪造、操作可追溯、设备不被入侵”五大核心风险点,构建 “传输 - 认证 - 指令 - 数据
    的头像 发表于 10-14 17:59 727次阅读

    蓝牙 v5.4 概述 (PAwR, EAD, ESL, LE Gatt)

    基于标准的 ESL 和其他应用方法 蓝牙 v5.4 的两项主要改进是带响应的周期性广播(PAwR)和加密广播数据。它们共同实现了在星型拓扑结构中与数千个功耗极低的终端节点进行无连接、双向、安全通信
    发表于 08-31 21:25

    Docker容器安全攻防实战案例

    在云原生时代,Docker已成为现代应用部署的基石。然而,容器化带来便利的同时,也引入了新的安全挑战。作为一名在生产环境中管理过数千个容器的运维工程师,我将通过真实的攻防实战案例,带你深入了解Docker安全的每一
    的头像 发表于 08-05 09:52 1567次阅读

    蓝牙无线通讯-蓝牙5.4概述

    蓝牙5.4 是蓝牙技术联盟( Bluetooth SIG )于2023年发布的蓝牙核心规范版本,主要针对物联网设备优化通信能力、安全性和效率,支持与数千个低功耗终端节点进行双向通信. 主要特性
    发表于 07-31 15:58

    什么是蓝牙BLE5.4

    优势,重点是增强了通信能力、安全性和效率。这些改进尤其适用于涉及大量设备的应用,如零售、资产跟踪和智慧家居环境。 主要优势包括: 与数千个终端节点进行双向通信 带响应的周期性广播 (PAwR) 加密广播
    发表于 07-21 14:56

    蔡司工业CT三坐标扫描仪扫描电镜守护新能源汽车电池质量安全

    新能源汽车时,车企和消费者之间的一道隐形的墙。与传统燃油车不同,新能源汽车的动力来自于由数千个电芯组成的动力电池组,一旦新能源汽车发生碰撞,某个电芯受损,就可能导致连
    的头像 发表于 05-24 11:44 718次阅读
    蔡司工业CT三坐标扫描仪扫描电镜守护新能源汽车电池质量<b class='flag-5'>安全</b>