Múltiples firmas, investigadores e instructores de un curso de seguridad informática reportaron recientemente una vulnerabilidad en más de 600 subdominios pertenecientes a Microsoft; la explotación exitosa de esta falla permitiría el secuestro de estos sitios con fines maliciosos. A pesar de los reportes constantes, el gigante tecnológico no mostró interés en reparar esta falla.
La falta de interés de Microsoft en este tema, y la inmediata intervención de los grupos de actores de amenazas, llevaron a los investigadores de la firma Vulnerability a secuestrar los dominios comprometidos, responsabilizando a Microsoft por malas prácticas de DNS.
En total, los investigadores lograron tomar control de diez subdominios, incluyendo direcciones como:
Además, participantes de un curso de seguridad informática mencionan que el total de dominios expuestos ha incrementado hasta 670.
En su reporte, los expertos mencionan que fue realmente sencillo detectar a dónde se suponía que los subdominios debían redirigir, pues Microsoft los aloja en Azure; por ejemplo, mybrowser.microsoft.com está vinculado a browserver.azurewebsites.net. Los investigadores se enfocaron en subdominios que no están vinculados a algún sitio web.
Cuando Microsoft deja de usar un subdominio en particular, se registro DNS era dejado tal cual, por lo que todo lo que los actores de amenazas requieren es crear una cuenta de Azure y solicitar browserver.azurewebsites.net, permitiéndoles alojar cualquier clase de contenido en el subdominio, como sitios web infestados de publicidad invasiva o maliciosa o páginas de phishing de Microsoft para extraer nombres de usuario y contraseñas de empleados y clientes de la compañía.
Los instructores del curso de seguridad informática aseguraron que este es un procedimiento realmente simple y que requiere mínimos conocimientos técnicos (además, completar el secuestro toma menos de una hora), por lo que el posible uso malicioso de estos subdominios es una amenaza real.
Como ya se ha mencionado, la compañía no parece estar interesada en corregir esta amenaza de ciberseguridad, a pesar de que los investigadores afirman que este sería un proceso muy simple para Microsoft. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), este sigue siendo un buen momento para asegurar los subdominios expuestos, aunque la entrada en escena de los cibercriminales puede ser cuestión de tiempo.