Os investigadores descobriram que, enviando um update falso às vítimas vindo de um URL confiável pertencente à microsoft (browser.microsoft.com, por exemplo), que podiam desencadear um ataque bem sucedido.
Segundo os investigadores da NULLNERABILITY, existiam aproximadamente 670 subdomínios vulneráveis, estando muitos alojados na cloud do Azure.
Esquema
Para dar um exemplo da falha, um dos subdomínios apontados - mybrowser.microsoft.com - apontaria para um servidor em webserver9000.azurewebsites.net, mesmo que tivesse sido deitado abaixo. Desta forma, um atacante podia criar uma conta no Azure, depois um servidor web e pedir o hostname webserver9000, neste caso. O que significa que quem fosse visitar o mybrowser.microsoft.com seria redirecionado, não para o site legítimo, mas para aquele montado pelo atacante, que poderia, consequentemente, ser usado para distribuir malware ou ser uma página de phishing.
Como funciona o takeover de um subdomínio:
Dois sinais que devem ser analisados são o status e o cname, resultantes da análise de uma ferramenta em Linux como o dig:
status: NXDOMAIN CNAME takeovertest-host.azurewebsites.net
Estes dois aspetos dizem-nos que o subdomínio está vulnerável a takeover e que está alojado em azurewebsites.net. O que o atacante faria, portanto, seria criar uma conta no Azure e fazer o takeover.
Solução
Normalmente, para impedir o takeover de um domínio, é necessário editar as entradas de DNS para os subdomínios que já não respondam a pedidos HTTP.
Mais informações: https://www.darkreading.com/vulnerabilities---threats/researchers-find-670+-microsoft-subdomains-vulnerable-to-takeover/d/d-id/1337246