Researchers van Exploit en Vullnerability hebben 670 subdomeinen van Microsoft gevonden die kwetsbaar waren voor overname van buitenaf. Via de (inmiddels gepatchte) subdomeinen kunnen slachtoffers makkelijker overtuigd worden om bijvoorbeeld inloggegevens prijs te geven.
Subdomeinen overnemen kan als er bijvoorbeeld een fout is gemaakt in het configureren van de DNS of een verlopen hostservice. Vervolgens kan een kwaadwillende partij bestanden uploaden maar ook een imitatie maken van een officiële website. Vanwege het legitiem uitziende subdomein zouden gebruikers volgens de onderzoekers sneller geneigd zijn de site te vertrouwen.
Vullnerability automatiseerde het proces om subdomeinen te checken op kwetsbaarheden en wist zo 670 domeinen te vinden. Hieronder vielen onder meer ‘identifyhelp.microsoft.com’ en ‘data.teams.microsoft.com’. Een aantal van de gevonden subdomeinen werd door Vullnerability geclaimd en aangegeven bij Microsoft om misbruik te voorkomen, maar voor de rest moet Microsoft zelf in actie komen.
De onderzoekers willen de rest van de lijst (met 660 subdomeinen) pas overdragen als Microsoft met een beloningsprogramma komt voor het vinden van dergelijke kwetsbaarheden.
Het is niet voor het eerst dat Microsoft wordt geconfronteerd met kwetsbare subdomeinen. In februari werd door onderzoekers ook al aangekaart dat het managen van duizenden subdomeinen voor problemen zorgde, nadat wederom honderden subdomeinen vanwege verkeerde geconfigureerde DNS over konden worden genomen. Microsoft liet toen niets van zich horen en patchte slechts een deel van de aangekaarte kwetsbare subdomeinen.