27 февраля 2020 
adminGWP 
Microsoft в тeчeниe нeскoлькиx лeт игнoрируeт сooбщeния oб уязвимoстяx нa свoиx пoддoмeнax.
Исслeдoвaтeль бeзoпaснoсти и рaзрaбoтчик в NIC.gp. Микeл Гaскeт (Michel Gaschet) oбнaружил у Microsoft сeрьeзныe прoблeмы с упрaвлeниeм тысячaми своих поддоменов. В области его словам, поддомены компании могут присутствовать легко взломаны злоумышленниками и прилагаться в атаках как на ее пользователей, скажем и на сотрудников.
В течение последних трех планирование Гаскет неоднократно сообщал Microsoft о поддоменах с некорректными конфигурациями записей DNS, во всяком случае компания либо игнорировала его сведения, либо «втихую» исправляла баги, только далеко не все. Бесцельно, в 2017 году исследователь уведомил о 21 уязвимом поддомене msn.com, а в 2019 году – к тому же о 142 поддоменах microsoft.com. Сообразно словам Гаскета, компания исправила конфигурации малограмотный более 5-10% поддоменов, о которых возлюбленный сообщил.
До недавнего времени уязвимые поддомены отнюдь не причиняли Microsoft никакого беспокойства. Тем невыгодный менее, сейчас, похоже, целое изменилось. Исследователь выявил сообразно крайней мере одну киберпреступную группу, взламывающую поддомены Microsoft с целью публикации для них спама. Как самое (меньшее на четырех поддоменах Гаскет обнаружил рекламу индонезийских online-игорный дом (portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com, и blog-ambassadors.microsoft.com).
В соответствии с мнению исследователя, Microsoft маловыгодный спешит с исправлением уязвимостей получи своих поддоменах, поскольку сие не входит в программу выплат вознаграждения вслед за обнаруженные уязвимости. Проблема взлома поддоменов малограмотный является частью bug bounty и благодаря) (этого не в приоритете.
Источник
Рубрика: