近日，CyberInt开发了一则针对Microsoft Live的PoC攻击，此项攻击能通过劫持微软Live.com网站的子域名，在没有用户凭据的情况下访问其Live的邮件内容。攻击者甚至可以完全接管用户的Microsoft账户，基于此对众多企业、组织展开更为广泛的攻击。

虽然此项漏洞现已被修复，但此次事件也表明，在某些时候，通过会话劫持可以进行更高级得的攻击。

子域是主域的延伸，可用来托管人力资源信息、营销材料、外联网站点、客户门户网站、宣传材料、微型网站等内容，例如假设有个网站的子域名为marketing.company. com，那么它的主域名就是company. com。子域名URL的命名方式一般按照其放置的内容来定，但其流量可以被重定向到另一个域——这就是问题所在。

当这些子域名不再被初创者使用时，可能会面临会话劫持（即接管）的风险，而许多组织机构根本就不处置过期的页面和帐户。

CyberInt表示，

威胁行为者可以通过查看目标组织的域名服务器（DNS）信息，来确定是否有任何子域记录配置为重定向、充当过期的域或废弃的第三方云服务的别名。对于过期域名，威胁行为者可以从注册商处购买域名，如果是在第三方服务的情况下，可以使用先前配置或已过期的名称来配置新的服务，用以劫持子域名。

此次PoC攻击利用的后一种策略。CyberInt使用内部开发的工具找出了易受会话劫持攻击的子域——一个名为“Windows Live”、托管在Azure云平台上的Live.com子域。该子域缺少更新的DNS配置，这为劫持创造了契机。

CyberInt首席研究员Jason Hill表示，

许多基于云的服务允许你为你的子域做手动配置，但如果该子域上的服务被关闭，且DNS设置没有更新，URL就会突然指向一个未配置的云服务。这将允许其他人进入、配置云服务，并按照自己的目的使用完全相同的子域名，还能以旧身份登录并操纵账户。

一旦子域被劫持，威胁行为者就可以打着该机构的旗号来发起一系列攻击，包括：发布看似源自该网站的虚假内容造成其声誉损害、越过黑名单检查、托管网络钓鱼或鱼叉式网络钓鱼内容以定位组织的员工和客户、制造水坑攻击，并可利用子域对网络应用进行攻击，例如跨站点请求伪造（CSRF）和跨站点脚本攻击（XSS），以及身份验证绕过和帐户接管。

对于Live 的子域, CyberInt的研究人员也探究了一些更高级的攻击。

Hill解释说，

我们可以看到，Microsoft Live cookie可配置为可供所有Live子域访问，因此我们开发了一个PoC代码，可以窃取用户拥有的任何cookie。

因此攻击者可以创建一个钓鱼电子邮件并写道：请登录和更新你的实时帐户。然后把用户引向被劫持的子域名。由于网站拥有合法的Live.com域名，很大程度上不会受到用户怀疑。接着攻击者就可以编写一个脚本来窃取cookie获取各类访问权限。

出于测试目的，CyberInt只是截取了样本用户的收件箱的屏幕截图，但该公司同时表示，想要执行其他“不道德”的攻击也是轻而易举的事。

虽然此次PoC的主题是Live.com子域劫持，但Hill指出，之前的研究表明，财富榜500强中96％的企业都有子域名，其中大约四分之一都存在子域名劫持的风险。这仍然是云和网络安全中的一个问题。

CyberInt在报告称，

实际上，在不断变化的环境中维护复杂的DNS配置可能会导致遗留记录被遗忘，如果没有健全的流程来检查新记录和审计旧记录，许多企业对休眠或过期的子域都会感到无从下手。