Сотни поддоменов Microsoft могли попасть в руки злоумышленников

Эксперты сервиса Vulnerability, осуществляющего анализ и мониторинг проблем сети Интернет в реальном времени, обнаружили подверженность поддоменов Microsoft атаке подмены DNS-ответа. В результате эксплуатации уязвимости пользователь может быть переадресован на фишинговый сайт, вместо искомого сайта Microsoft, и подвержен другим типам мошенничества и атак через веб-сервисы (XSS, перехват ввода платежных данных и т.д.) Данной атаке подвержены и другие крупные компании, кроме Microsoft.

Механизм атаки 

Программное обеспечение DNS-сервера bind версии 9.8.1 и выше имеет функцию Response Policy Zone (RPZ), позволяющую операторам связи реализовать механизм простой политики DNS-ответов, например, блокирование или перенаправление DNS-запросов к ресурсам на альтернативный адрес. Эксперты группы компаний Angara поясняют, что эта функция делает возможным переадресацию на нужную пользователю web-страницу, даже если он не полностью или некорректно ввел URL, но на него есть правило переадресации у провайдера. По мнению экспертов, такой механизм открывает возможности для злоумышленника реализовать атаки.

Как может быть реализована атака

Включается использование механизма RPZ, создается политика переадресации нужного вам адреса, например, habrahabr.ru, на другой нужный вам домен, например, badguy.ru. После внесения изменений в настройки, адрес habrahabr.ru будет резолвиться в badguy.ru. Далее RPZ зона передается между провайдерами DNS через DNS AXFR/IXFR. Таким образом, провайдер решает вопрос переадресации или блокирования определенных ресурсов.

Рекомендации

Обнаруженный список доменов был передан в компанию Microsoft исследователями из Vullnerability и отфильтрован — на текущий момент уязвимость устранена в Microsoft. Но проблема может затрагивать и другие крупные ресурсы — пользователю необходимо быть внимательнее.

Механизмом защиты от подобных атак является бдительность пользователя к фишинговым приемам. Эксперты группы компаний Angara и Microsoft советуют обращать внимание на следующие вещи:

  • Наличие SSL. Сертификат должен быть действующим и выпущен доверенным центром сертификации, например, Microsoft подписан DigiCert.

Вас должно насторожить:

  • Безличное обращение к вам. Например, когда вы уже вошли в аккаунт, а система обозначает вас как  «господин», без конкретного имени. 

  • Наличие опечаток или пунктуационных ошибок на страницах запроса данных. 

  • Наличие фраз, призванных ускорить ваши действия и принять необдуманное предложение: «срочно», «только сейчас», или эффект «супер предложений», и другие традиционные для фишинга семантические обороты.

Администраторам DNS-ресурсов эксперты Angara Technologies Group рекомендуют отслеживать поддомены и регулярно удалять неиспользуемые записи.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах