通过子域劫持入侵Microsoft Live帐户的PoC

Change 资讯 2018年11月6日发布
Favorite收藏

导语:近日,CyberInt开发了一则针对Microsoft Live的PoC攻击,此项攻击能通过劫持微软Live.com网站的子域名,在没有用户凭据的情况下访问其Live的邮件内容。

近日,CyberInt开发了一则针对Microsoft Live的PoC攻击,此项攻击能通过劫持微软Live.com网站的子域名,在没有用户凭据的情况下访问其Live的邮件内容。攻击者甚至可以完全接管用户的Microsoft账户,基于此对众多企业、组织展开更为广泛的攻击。

虽然此项漏洞现已被修复,但此次事件也表明,在某些时候,通过会话劫持可以进行更高级得的攻击。

子域是主域的延伸,可用来托管人力资源信息、营销材料、外联网站点、客户门户网站、宣传材料、微型网站等内容,例如假设有个网站的子域名为marketing.company. com,那么它的主域名就是company. com。子域名URL的命名方式一般按照其放置的内容来定,但其流量可以被重定向到另一个域——这就是问题所在。

当这些子域名不再被初创者使用时,可能会面临会话劫持(即接管)的风险,而许多组织机构根本就不处置过期的页面和帐户。

CyberInt表示,

威胁行为者可以通过查看目标组织的域名服务器(DNS)信息,来确定是否有任何子域记录配置为重定向、充当过期的域或废弃的第三方云服务的别名。对于过期域名,威胁行为者可以从注册商处购买域名,如果是在第三方服务的情况下,可以使用先前配置或已过期的名称来配置新的服务,用以劫持子域名。

此次PoC攻击利用的后一种策略。CyberInt使用内部开发的工具找出了易受会话劫持攻击的子域——一个名为“Windows Live”、托管在Azure云平台上的Live.com子域。该子域缺少更新的DNS配置,这为劫持创造了契机。

CyberInt首席研究员Jason Hill表示,

许多基于云的服务允许你为你的子域做手动配置,但如果该子域上的服务被关闭,且DNS设置没有更新,URL就会突然指向一个未配置的云服务。这将允许其他人进入、配置云服务,并按照自己的目的使用完全相同的子域名,还能以旧身份登录并操纵账户。

一旦子域被劫持,威胁行为者就可以打着该机构的旗号来发起一系列攻击,包括:发布看似源自该网站的虚假内容造成其声誉损害、越过黑名单检查、托管网络钓鱼或鱼叉式网络钓鱼内容以定位组织的员工和客户、制造水坑攻击,并可利用子域对网络应用进行攻击,例如跨站点请求伪造(CSRF)和跨站点脚本攻击(XSS),以及身份验证绕过和帐户接管。

对于Live 的子域, CyberInt的研究人员也探究了一些更高级的攻击。

Hill解释说,

我们可以看到,Microsoft Live cookie可配置为可供所有Live子域访问,因此我们开发了一个PoC代码,可以窃取用户拥有的任何cookie。

因此攻击者可以创建一个钓鱼电子邮件并写道:请登录和更新你的实时帐户。然后把用户引向被劫持的子域名。由于网站拥有合法的Live.com域名,很大程度上不会受到用户怀疑。接着攻击者就可以编写一个脚本来窃取cookie获取各类访问权限。

出于测试目的,CyberInt只是截取了样本用户的收件箱的屏幕截图,但该公司同时表示,想要执行其他“不道德”的攻击也是轻而易举的事。

图片1.png

虽然此次PoC的主题是Live.com子域劫持,但Hill指出,之前的研究表明,财富榜500强中96%的企业都有子域名,其中大约四分之一都存在子域名劫持的风险。这仍然是云和网络安全中的一个问题。

CyberInt在报告称,

实际上,在不断变化的环境中维护复杂的DNS配置可能会导致遗留记录被遗忘,如果没有健全的流程来检查新记录和审计旧记录,许多企业对休眠或过期的子域都会感到无从下手。

本文翻译自:https://threatpost.com/poc-exploit-compromises-microsoft-live-accounts-via-subdomain-hijacking/138719/如若转载,请注明原文地址: http://www.4hou.com/info/14352.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论