Microsoft es una compañía multinacional enfocada en la tecnología, al desarrollar y manufacturar, tanto softwares como dispositivos, también provee soporte para todos sus productos que son vendidos por licenciamiento, los cuales incluyen softwares, servidores, dispositivos electrónicos y sus servicios. Entre estos servicio se encuentra Azure, el cual consiste en múltiples servicios en la nube, como almacenamiento, base de datos, equipos, así como la posibilidad de administrarlos remotamente.
Un grupo de investigadores han identificado y demostrado que al menos 670 subdominios de microsoft.com, skype.com, visualstudio.com, y windows.com pueden ser potencialmente secuestrados. Los expertos se percataron que muchos de los subdominios del gigante corporativo, como dev.social.microsoft.com y web.visualstudio.com, son alojados en la nube de Azure (Azure Cloud), deduciendo que un subdominio cualquiera como mybrowser.microsoft.com, puede ser resolvido, por ejemplo, como webserver9000.azurewebsites.net.
Al realizar las pruebas descubrieron que Microsoft no ha tomado cuidado de las entradas del sistema de nombres de dominio (DNS) para los subdominios. Debido al ejemplo anterior en el que el subdominio “mybrowser.microsoft.com” puede seguir apuntando a una instancia de un servidor en “webserver9000.azurewebsites.net” incluso cuando esta apagado. Esto significa, que un atacante puede obtener una cuenta Azure, configurar una instancia de servidor web, y solicitar el nombre de host (hostname) webserver9000, en el momento que los visitantes vayan a mybrowser.microsoft.com, ellos serán redireccionados a la instancia gestionada por el atacante “webserver9000.azurewebsites.net”, con el fin de distribuir malware o mostrar una página web de phishing.
Dicha situación se le conoce como adquisición de subdominio (subdomain takeover), a todo servidor que es vulnerable a ser controlado por otras personas, excluyendo al administrador. Este problema suele ocurrir por dos razones:
- Cuando el servicio de alojamiento se ha vencido y no se actualiza dicha expiración también a los subdominios del dominio expirado.
- Y por la incorrecta configuración del sistema de nombres de dominio (DNS).
Un atacante al tomar posesión del subdominio, puede cargar sus propios archivos, crear sus propias bases de datos, rastrear el tráfico de datos, hasta crear un clon del sitio web principal.
Los investigadores destacan que existen dos puntos importantes:
- El estatus: NXDOMAIN
- CNAME takeovertest-host.azurewebsites.net
Al poseer estos, se puede saber si el subdominio esta alojado en azurewebsites.net y si es vulnerable a ser secuestrado.
Ejemplo de un subdominio vulnerable
Los expertos señalaron, que Microsoft solamente necesita eliminar las entradas DNS para los subdominios cuando hagan mantenimiento a sus servidores o eliminar las entradas DNS para aquellos subdominios que ya no responden solicitudes HTTP.
Cabe destacar, que Microsoft reconoció el problema y ha desactivado estos subdominios, pero se ha negado a pagar las recompensas de “bug bounties”, incluso si el programa cubre la seguridad de los subdominios.
COMENTARIOS