糟糕的DNS管理打开了账户接管的大门。
概念验证(PoC)攻击详细说明了攻击者如何在不拥有此人凭据的情况下访问受害者的Microsoft Live网络邮件会话。它依赖于微软拥有的Live.com网站子域名劫持。
由CyberInt开发的PoC演示了它在Microsoft Live子域(现已修复)中的“高严重性漏洞”的特征,该漏洞本可用于完全由Microsoft帐户接管。从那里开始,对手可能会对多个组织及其客户进行广泛攻击。
虽然PoC专门针对固定问题,但它表明会话劫持可以打开高级攻击的大门,具体取决于相关域。
子域名 是主要网站的一个区域,可用于托管人力资源信息,营销材料,外联网站点,客户门户网站,宣传材料,微型网站等内容; 即marketing.company [。] com,如果它存在,将是公司[。] com的子域。子域URL名称有时也是托管在云服务上的内容的别名,或者它们将流量重定向到不同的域 - 这就是问题所在。
当这些子域不再被原始所有者使用时,这些子域可以对会话劫持(即接管)开放,因为许多组织根本不删除或更新休眠和过期的页面和帐户。
“威胁行为者可以查看目标组织的域名服务器(DNS)信息,以确定是否有任何子域记录配置为重定向或充当过期域或废弃第三方[云]服务的别名,”CyberInt解释说。 ,在与Threatpost共享的白皮书中。“对于过期域名,威胁参与者可以从任何注册商处购买域名,或者在第三方服务的情况下,使用先前配置或过期的名称配置新服务以劫持子域名。”
PoC利用后一种策略。使用CyberInt内部开发的工具来查找易受会话劫持攻击的子域,它发现了一个名为“Windows Live”的Live.com子域,托管在Azure云平台上。子域缺少更新的DNS配置,这为劫持打开了大门。
“许多基于云的服务允许您为子域进行手动配置,”CyberInt首席研究员Jason Hill在接受采访时告诉Threatpost。“但是如果托管在该子域上的服务被关闭,并且DNS设置未更新,则URL突然指向未配置的云服务。这允许其他人进入,配置该云服务,并为自己的目的使用完全相同的子域名。他们可以登录并有效控制旧身份。“
一旦子域被劫持,威胁行为者就可以利用目标组织的声誉和合法性来发起一系列攻击。这包括发布看似源自目标网站的内容。用例包括发布旨在造成声誉损害的虚假内容; 越过黑名单检查; 托管网络钓鱼或鱼叉式网络钓鱼内容以定位组织的员工或客户; 制造水坑攻击; 并利用子域进行Web应用程序攻击,例如跨站点请求伪造(CSRF)和跨站点脚本(XSS),以及身份验证绕过和帐户接管。
在Live子域的情况下,CyberInt研究人员决定查看是否可以进行更高级的攻击。
“我们希望看到我们能做些什么,”希尔对威胁经历说。“我们可以看到Microsoft Live cookie可以配置为可供所有Live子域访问,因此我们开发了一个PoC代码,可以窃取用户拥有的任何cookie。”
因此,攻击者可以创建一个 钓鱼邮件,说明,登录并更新您的Live帐户。这可能会将受害者引导到被劫持的子域。这是令人信服的,因为该网站是一个合法的Live.com域名。然后,攻击者可以编写一个窃取的脚本,然后利用被盗的 cookie 来访问各种服务。
正如该公司在其白皮书中解释的那样,“在这种情况下,PoC劫持了一个微软拥有的live.com子域名,通过托管Flask(Python)应用程序来武器化它,该应用程序将劫持任何访问受害者的网络邮件会话。”
出于测试目的,此PoC只是截取受害者的网络邮件收件箱的屏幕截图 - 尽管该公司表示修改攻击以执行其他不道德的任务将是“微不足道的”。希尔指出,使用同样的方法窃取邮箱中的信息或发送电子邮件很容易; 此外,该开局将有助于访问其他Live.com服务上的用户会话。
虽然Live.com子域名是PoC的主题,但Hill指出之前的研究显示,96%的财富500强公司都有子域名,其中约四分之一存在子域名劫持的风险。这不是一个新现象,但仍然是云和网络安全中的一个问题。
“在实践中,在不断变化的环境中维护复杂的 DNS配置 可能导致遗忘记录或无意中的错误,”Cyberint的报告称。“如果没有健全的流程来检查新记录并审核旧记录,许多人将无法解决错误并删除休眠或过期的条目。”