Vullnerability.com’daki araştırmacılar, daha önce Microsoft tarafından kullanılmış ancak daha sonra unutulmuş olan 670’den fazla alt alan adını ele geçirebilir olduklarını söylediler [1]. Böyle bir durum daha önce tartışılmıştı. Araştırmacılar, kimlik avı ve kötü amaçlı yazılım saldırılarında kullanmak üzere Microsoft gibi şirketlerin alt alan adlarını ele geçirmenin kolay olduğunu keşfettiler. Ele geçirilebilen alt alan adları arasında şunlar var;
- identityhelp.microsoft.com
- mybrowser.microsoft.com
- web.visualstudio.com / webeditor.visualstudio.com
- data.teams.microsoft.com
- sxt.cdn.skype.com
- download.collaborate.microsoft.com
- incidentgraph.microsoft.com
- admin.recognition.microsoft.com
Bunlardan biri elde edilirse, özellikle işletmeleri hedefleyenlere saldırganların eline geçmesi durumunda çok büyük zarar verme olasılığı var. Çünkü Microsoft gibi sitelerden gelen linkler, internet kullanıcıları tarafından –kontrol etmeye gerek duymayacak kadar– güvenli kabul edilir.
Araştırmacılar, bir ziyaretçiyi tarayıcılarına bir casusluk uzantısı yüklemeye ikna etmeyi, kurumsal kimlik bilgilerini sahte bir giriş sayfasıyla kimlik avı yapmayı veya ziyaretçilerden Teams Uygulamasıyla data.teams.microsoft.com’a hassas belgeler yüklemelerini istemeyi içeren örnekler göstermiş durumda.
Elbette tüm varsayımsal istismarlar, ama yine de yazım bozucu alanların diğer etki alanı ruse için çekici bir alternatif ve kimsenin fark etmediğini umuyor.
Zayıf DNS Yönetimi
Buradaki temel sorun zayıf DNS yönetimi, bu durumda Microsoft tarafından, bulut hizmetlerinde kullanılan alt alanların büyük oranda çoğalmasıyla büyüyen bir sorun haline geliyor. Birincisi, saldırganlar bir tarama aracı kullanarak kapmak için olabileceğini düşündükleri birine giderek açık içeren alt alanları ararlar. 404 sayfa bulunamadı hatası alırlarsa, onu kullanabilirler.
Bir saldırganın shop.example.org adresinden terk edilmiş bir dükkan için 404 hatası aldığını varsayalım. Saldırganlar, example.org etki alanına sahip olmadıkları için söz konusu sitenin DNS kayıtlarını düzenleyemez. Bunun yerine, alt alan adının, kontrol edebilecekleri farklı bir alan adı veya alt alan adı için bir takma ad olup olmadığını kontrol ederler.
CNAME, mülkiyeti sona eren bir alan adını gösterirse, bu alan adını satın almaya ve kötü amaçlı bir web sitesi barındırmak için kullanabilir.
Yine de, CNAME, Azure gibi bir barındırma hizmetinde, kullanıcıların .azurewebsites.net’in alt alan adlarını kullanarak web siteleri oluşturmalarına olanak tanıyan bir alt etki alanını işaret ediyor.
CNAME kaydındaki Azure alt etki alanı artık kullanılmıyorsa, saldırgan hak talebinde bulunmayı deneyebilir. Bir Microsoft Azure hesabında sanal makine yapılandırabilir, hedef sitenin bir kopyasını atan bir web sunucusu yükleyebilir ve Azure alt etki alanını, onu işaret eden özel bir etki alanı olarak ekleyebilirler.
Doğrulama yok, Microsoft’a eski alt alanlarından birinin devralındığına dair bir uyarı yok ve kurumsal güvenlik sistemlerinin bu görünüşte yasal alanın bir şey olduğunu tespit etmesinin kolay bir yolu yok.
Buna karşı savunma, alt alan adı için DNS kayıtlarını temizlemektir, ancak ayarlanan ve daha sonra kullanılmaya bırakılan sayıların her zaman gerçekleşmeyeceği anlamına gelir.
Alt alan adı ele geçirme sorunu yıllardır sürüyor. Yalnızca Microsoft’un değil, herhangi bir bulut platformundaki herhangi bir şirkete ait alt alan adlarını etkileyebilir.
[1] 670+ Subdomains of Microsoft are Vulnerable to Takeover (Lead to Account Takeover)