O gerente de TI obtém certificado para o domínio Microsoft, tenta denunciá-lo, mas entra em problemas

Depois que um entusiasta de segurança descobriu uma brecha que lhe permitiu registrar um certificado SSL válido para o domínio live.fi da Microsoft, ele tentou divulgar responsavelmente questão. Mas, em vez de agradecer, ele ficou bloqueado de suas contas de email, telefone, Xbox e armazenamento online.

A questão foi descoberta por um finlandês que trabalha como gerente de TI para uma empresa do setor industrial. Ele conversou com o IDG News Service, mas pediu anonimato.

O serviço de e-mail Outlook.com da Microsoft permite que os usuários tenham vários endereços de e-mail chamados alias sob uma única conta. No momento, o serviço só permite que aliases sejam criados no domínio @ outlook.com, mas há vários meses outros domínios estavam disponíveis.

[Outras leituras: Como remover malware do seu PC com Windows]

Por volta das seis meses atrás, o gerente finlandês de TI, que já tinha um endereço @ live.fi e @ live.com, teve a idéia de verificar se podia registrar nomes de usuários privilegiados como aliases adicionais.

Nomes de usuários privilegiados como admin @, administrator @ , postmaster @, hostmaster @ e webmaster @ são normalmente reservados para uso por proprietários de nomes de domínio para fins administrativos, mas o gerente de TI conseguiu registrar [email protected], [email protected] e [email protected] como seus aliases porque A Microsoft não os bloqueou.

Inicialmente, ele achava que poderia receber mensagens de e-mail potencialmente confidenciais destinadas ao proprietário do domínio e que relataria o problema, mas, com o passar do tempo, nenhum e-mail foi enviado para esses endereços. Então, em janeiro, ele teve a idéia de tentar obter um certificado SSL usando um dos endereços.

Ele escolheu uma autoridade de certificação chamada Comodo porque a empresa oferece certificados gratuitos válidos por 90 dias e porque aceita a propriedade do domínio. verificação por meio de endereços de e-mail do tipo admin.

Segundo o gerente de TI, ele obteve o certificado no dia 26 de janeiro e todo o processo levou cerca de 10 minutos, o que o fez acreditar que estava totalmente automatizado. No dia seguinte, ele relatou o problema ao CERT-FI, que faz parte do Centro Nacional de Segurança Cibernética da Finlândia. Ele também alega ter relatado o problema para um endereço de e-mail listado como contato para o domínio live.fi em janeiro. 31 e para [email protected] em 24 de fevereiro, mas ele não recebeu resposta de nenhum dos endereços. Vale a pena notar que o e-mail de contato adequado da Microsoft para relatar vulnerabilidades é [email protected], não [email protected]. No entanto, de acordo com um post de blog da Microsoft de 2006, deve haver uma resposta automática de [email protected] com informações sobre o contato adequado.

A Microsoft lançou uma atualização na segunda-feira para colocar na lista negra o certificado emitido incorretamente, mas não antes de suspender o Conta do gerente de TI em 12 de março. Isso o prendeu não apenas de seu e-mail, mas também do OneDrive, Xbox Live, Lumia e outros serviços da Microsoft. A Microsoft finalmente liberou sua conta hoje.

“É claro que nem todas as decisões que tomei foram inteligentes, mas eu tentei o meu melhor”, disse ele, referindo-se a como ele lidou com a investigação e o relato da questão. Através de nossas próprias investigações, independente do pesquisador, identificamos e corrigimos a configuração incorreta que permitia que as pessoas criassem contas reservadas para uso da Microsoft ”, disse um representante da Microsoft por e-mail na quarta-feira.

O representante da Microsoft acrescentou que é“ padrão prática ”para que a empresa desabilite contas onde possa haver uma violação dos termos de serviço da Microsoft ou onde um risco de segurança possa estar presente, e para orientar os titulares de contas sobre como recuperar o acesso na próxima vez que eles tentarem efetuar login. processo, entramos em contato com o pesquisador e estamos trabalhando com ele para restaurar sua conta ", disse o representante.

O gerente de TI confirmou depois que a Microsoft enviou sua declaração de que ele recuperou o acesso à sua conta.

Os endereços de e-mail administrativos precisam ser reservados desde o início, para que ninguém possa usá-los maliciosamente, disse Frans Rosén, co-fundador da empresa de segurança na Web. Detectar, via email. Alguns emissores de certificados verificam manualmente a propriedade do domínio, mas esses endereços, juntamente com aqueles listados em registros whois de domínio, são frequentemente aceitos para verificação por padrão, tornando seu seqüestro realmente perigoso, disse ele.

Rosén expressou surpresa que a Microsoft não conseguiu proteger Esses nomes de usuários, dizendo que este é um problema comumente conhecido por serviços que permitem endereços de e-mail gerados pelo usuário. Pesquisadores do Detectify investigaram recentemente como subdomínios esquecidos podem ser abusados ​​por invasores, possivelmente para obter certificados SSL que poderiam ser usados ​​em ataques man-in-the-middle.