@idontusenumbers Merci pour le commentaire! Nous étudierons ce problème et vous répondrons dans les plus brefs délais.

@idontusenumbers Aka.ms est un service de raccourcissement d'URL interne de Microsoft et n'est pas disponible publiquement, il est donc impossible de l'identifier, même de près, comme une URL d'attaque de phishing. Selon votre déclaration, il semble que ce ne soit qu'une hypothèse de votre part, mais nous vous assurons que l'URL est complètement sûre et qu'elle n'est pas du tout associée à une activité de phishing.

J'espère que cela clarifie vos doutes. Si vous avez d'autres questions à ce sujet, n'hésitez pas à me taguer, moi ou l'auteur du document @ eross-msft, à votre réponse et nous serons heureux de clarifier tout ce qui est nécessaire. Nous allons clore ce numéro maintenant.

Je vous remercie.

@ MohitDhingra-MSFT @ eross-msft Il n'y a aucune preuve qui suggère que aka.ms est interne ou contrôlé par Microsoft sans recherche significative. C'est comme si la banque chase disait: "Vous pouvez entrer vos identifiants de compte bancaire sur cha.se parce que nous le contrôlons". Même un utilisateur averti en technologie n'a aucun moyen de vérifier qu'il s'agit d'un domaine Microsoft, car il redirige immédiatement vers un domaine différent de sorte que le certificat ne peut pas être vérifié. Les utilisateurs apprennent année après année à signaler très spécifiquement ce type de domaine comme domaine de phishing et à le signaler à leur service informatique. À mon avis (professionnel), c'est une énorme erreur de sécurité et ne profite à personne. https://microsoft.com/mfasetup serait une option 1000 fois meilleure.

En effet, je pensais être harcelé très intelligemment aujourd'hui, avec une facture très plausible accompagnée d'un e-mail qui m'invitait à "Consulter votre (vos) accord (s) https://aka.ms/AA1wm3t ". Ouais c'est vrai, comme je vais suivre un lien vers une URL douteuse dans le domaine Monserrat! Merci d'avoir posté la bonne foi ici sur github, clairement pas une attaque de phishing ;-)

Je suis d'accord. Les services de raccourcissement de lien sont TRÈS suspects. En fait, le DoD les bloque tous (à l'exception de leur propre HA) ... donc tous les liens aka.ms échouent pour nous. Cela devient en fait courant pour les entreprises. La raison en est que nous formons les utilisateurs à regarder les URL pour être sûrs qu'ils vont là où ils pensent aller. Avec Link Shorteners, vous ne pouvez jamais être sûr ... peu importe à quel point le service Link Shorteener est "officiel".

j'ai un virus qui le redirige https://www.hybrid-analysis.com/sample/d03c96928139226641bbd01466dcca67e004a8cb3913f505d2092bd14890a8be?environmentId=120

tous ne sont pas sécurisés, vérifiez celui-ci: schemas.microsoft.com/SMI/2005/WindowsSettings "
Je vois beaucoup de serveurs CDN akmai utilisant du contenu légitime comme fonctionnalité de bombe logique dans des virus très avancés, en utilisant des clés de temporisation qu'un auteur de virus peut contrôler pour arrêter les campagnes en les tirant. , et en utilisant des comptes Microsoft pour voir ce que leurs victimes regardent en obtenant des rapports ... je ne commence même pas sérieusement à faire confiance à Microsoft parce que beaucoup de ces virus génèrent un trafic si lourd, et Google et Microsoft en reçoivent tous des métadonnées intéressantes. .

la plupart des virus les plus actifs que j'étudie en ce moment sont tous des certificats signés, tous microsoft sur liste blanche, tous contactant des services publicitaires google ou des pages microsoft / semi-légitimes légitimes ... chaîne numérique en tant qu'argument CLI et dans un autre de ces sites Web aka.ms dans l'url, il s'agit d'un contexte d'urli demandant Embeded? y / N aka

https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=45a330b1-b1ec-4cc1-9161-9f03992aa49f&scope=openid&msafed=0&nonce=a5dfc125-1fd6-407b-9202-0a5d19c20fe7&response_mode=form_post&redirect_uri=https : // businessstore.microsoft.com/auth/&state=%7B%22encodedRedirectUri%22:%22L21hbmFnZS9vcmdhbml6YXRpb24vYWdyZWVtZW50cw==%22,%22isEmbedded%22:false%7D

Je suggérerais aux développeurs Azure de lire https://www.sans.org/security-awareness-training/blog/secure-options-url-shortening.

Mais ... je ne pense pas qu'il soit raisonnable de s'attendre à ce que quelqu'un en dehors de MS fasse confiance (ou même qu'il sache) son contrôle sur aka.ms. Donc, https://safecomputing.umich.edu/be-aware/phishing-and-suspicious-email/shortened-url-security est je pense le plus pertinent ici ...

@ MohitDhingra-MSFT @ eross-msft Pouvons-nous obtenir une analyse plus approfondie de l'utilisation de cette URL raccourcie? Du point de vue de l'utilisateur, il n'y a aucun avantage à l'URL raccourcie et des coûts énormes: incapacité à terminer la tâche parce que le service informatique bloque les raccourcisseurs d'URL ou parce qu'elle est perçue comme une attaque de phishing et donc intentionnellement non cliquée

Hmmm ... une bonne prochaine étape pourrait être d'examiner certains cas spécifiques dans lesquels aka.ms est utilisé, puis de les classer comme cas d'utilisation ou cas d'utilisation abusive. C'est ainsi hors de ma gamme de responsabilité - je suis juste un utilisateur final.

Je vais maintenant me désinscrire de ce fil ... mais en guise de cadeau d'adieu, j'ai une affaire à offrir: un email que j'ai reçu il y a un mois, avec un lien aka.ms. Une version à texte plat est ajoutée. J'ai supprimé tout ce qui est manifestement non haché, et je suis d'accord pour courir le risque de confidentialité de publier ce cas sur une zone Web accessible au public.

1. Je ne peux pas être dérangé de comprendre comment la redirection aka.ms extrait mes informations personnelles, mais quand j'ai (enfin!) Osé la visiter il y a quelques minutes, mon navigateur (Chrome) a été redirigé vers https: // login. microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=AAAA&scope=openid&msafed=0&nonce=BBBB&response_mode=form_post&redirect_uri=https : //businessstore.microsoft.com/auth/%24CC/%CBDirect 22,% 22isEmbedded% 22: false% 7D & sso_reload = true. Donc: la redirection aka.ms est apparemment bien plus puissante qu'une redirection tinyurl. Cependant: je pense qu'il est peu probable que la cible "AA1wm3t" de ce aka.ms contienne une version hachée de mes informations personnelles car il ne contient que 8 caractères, et parce que la fenêtre contextuelle "Choisir un compte" sur cette visite microsoftoneline.com n'est pas m'aider à naviguer dans la partie de mon enfer d'identité personnelle qui est directement administrée par MS (c'est-à-dire que je vois quatre options explicites dans la liste "Choisir un compte", plus l'option "Utiliser un autre compte".

2. Je soupçonne que le lien png est un tracker avec une référence hachée à mon numéro de compte, donc je l'ai anonymisé. C'est un png 115x27 qui aurait affiché un graphique MS dans mon client Outlook, si je l'avais jamais autorisé à me présenter cet e-mail en html. (BTW, j'exécute mon Outlook en mode texte seulement, comme l'une de mes lignes de défense contre les méchants de messagerie.)

Voici le cas anonymisé. Ignorez si vous aimez. J'ai déjà gaspillé plus qu'assez de temps sur cette question!

À votre santé,
Clark

-

De: Microsoft (ne pas répondre) [email protected]
Envoyé: mardi 3 décembre 2019 18:12
À: Destinataires non divulgués:
Objet: votre relevé de facturation Microsoft

http://compass.microsoft.com/assets/eb/68/WWW.png

Votre relevé de facturation Microsoft est prêt

Organisation: XXX

Domaine: YYY.com

Votre relevé de facturation est prêt à être examiné et est joint à cet e-mail.

Nous envoyons les factures par défaut, mais vous pouvez modifier la façon dont vous recevez les factures https://portal.office.com/AdminPortal/Home?ref=BillingNotifications si vous le souhaitez.

Je vous remercie,

L'équipe Microsoft Online Services

Microsoft respecte votre vie privée. Consultez notre déclaration de confidentialité en ligne https://privacy.microsoft.com/en-us/privacystatement .

Questions supplémentaires?

Veuillez visiter le site du support client https://businessstore.microsoft.com/en-us/support .

Consultez votre (vos) accord (s) https://aka.ms/AA1wm3t .

Microsoft Corporation
Un Microsoft Way
Redmond, WA 98052 États-Unis
https://mucp.api.account.microsoft.com/m/v2/v?d=ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ

-

Moi encore, avec un deuxième cas d'utilisation aka.ms.

Ce cas présente une cible conviviale de aka.ms: le lien s'affiche dans ma visionneuse PDF (Acrobat Pro DC) sous le nom https://aka.ms/Office365Billing.

Je serais très surpris s'il y avait un canal secret qui permettait à cette redirection aka.ms particulière de tirer mes PII de ce document pdf particulier, mais ce serait certainement une possibilité à explorer si j'étais un concepteur de logiciels malveillants ou sous contrat. en tant qu'analyste de sécurité!

(Notes de cas: j'ai rendu la pièce jointe PDF de mon cas n ° 1 en png, puis j'ai découpé les informations personnelles affichées.)

Merci à tous pour votre compréhension des URL. Nous apprécions les données fournies, car elles aident à façonner nos décisions à l'avenir.
En tant qu'équipe de contenu, nous abandonnons en fait les URL courtes aka.ms et utilisons plutôt les URL complètes du site. Cela étant dit, les groupes de produits et les autres équipes ne changent pas nécessairement de style pour refléter cette mise à jour. De plus, nous n'avons pas la bande passante pour revenir en arrière et mettre à jour tous les liens aka.ms et ne pouvons mettre à jour que les liens que nous voyons dans les articles en cours de mise à jour ou dans de nouveaux articles.
Pour les besoins de l'article MFA référencé, je peux entrer et mettre à jour ce lien vers une URL complète. Mais lorsque vous trouvez des liens supplémentaires, vous pouvez continuer et les mettre à jour vous-même via GitHub et un compte GitHub. Nous passons en revue et lisons / acceptons les demandes d'extraction des clients internes et externes. Si vous avez besoin d'instructions sur la façon de procéder, vous pouvez les trouver ici: https://docs.microsoft.com/en-us/contribute/.

s'il vous plait fermer

5 mois plus tard, vous utilisez toujours ce domaine pour encourager les propriétaires de Windows 10 à associer leur téléphone à leur bureau, afin que "je n'ai plus jamais à m'envoyer des photos par e-mail". Donc, ces images seront acheminées via un serveur à Montserrat? Merci, mais je pense que je vais simplement les télécharger via USB à la place.

Est-ce sûr maintenant ou quoi?

:)

Je suis d'accord.
Pour les consommateurs, les clients individuels, aka.ms, c'est bien car il est facile à retenir et il n'y a pas de gros problèmes de sécurité.
Pour les clients professionnels, certains d'entre eux utilisent même un pare-feu Internet en mode liste d'autorisation, il faut vraiment leur donner une bonne raison d'accepter ce domaine.
Je pense que Microsoft devrait au moins officiellement faire une annonce, déclarant quelque chose comme
"aka.ms est un domaine appartenant à Microsoft.",
"Ce domaine est utilisé par Microsoft afin de ..... et les administrateurs informatiques peuvent le placer en toute sécurité dans la liste d'autorisation du pare-feu de votre entreprise ...",
"Vous pouvez faire confiance à l'URL Microsoft commençant par aka.ms",
quelque chose comme ca.

Je suis d'accord.
Pour les consommateurs, les clients individuels, aka.ms, c'est bien car il est facile à retenir et il n'y a pas de gros problèmes de sécurité.

Il y a un gros problème de sécurité: cela ressemble à une URL de phishing

Je pense que Microsoft devrait au moins officiellement faire une annonce, déclarant quelque chose comme
"aka.ms est un domaine appartenant à Microsoft.",

Cela nécessite que chaque personne qui reçoit l'un de ces liens aka.ms ait reçu, lu et mémorisé un tel avis. C'est beaucoup demander.

Cela nécessite que chaque personne qui reçoit l'un de ces liens aka.ms ait reçu, lu et mémorisé un tel avis. C'est beaucoup demander.

Je ne pense pas que Microsoft ait besoin d'envoyer cette annonce à tout le monde. La publication d'un tel avis sur leurs sites Web fera l'affaire.

mircosoft inclurait-il ce domaine dans ses documents s'il n'était pas officiel?

mircosoft inclurait-il ce domaine dans ses documents s'il n'était pas officiel?

Un pirate informatique qui a pénétré dans les documents Microsoft et les réécrire utiliserait-il un domaine similaire à aka.ms? le hacker utiliserait-il microsoft.com?

alors que je pense que la plupart de ce fil est une préoccupation excessive concernant les URL de phishing, en tant qu'utilisateur final, si vous accédez à l'url nue https://aka.ms , vous êtes maintenant redirigé vers https://redirectiontool.trafficmanager.net/ am / redirection / home? options = host : aka.ms qui redirige vers une page de connexion pour l'outil de redirection MS. Bien que cela ne vous montre nulle part sur l'écran - exemple d'écran .

Si un utilisateur final essayait de trouver des informations sur aka.ms - la première chose qui apparaît dans mes résultats de recherche est de nombreuses instances de personnes demandant si tout va bien.

J'étais en train de mettre à

Pire encore, si un client non autorisé (invités non-Microsoft et non autorisés par Microsoft) se connectait entièrement à la page, il obtenait cette erreur qui serait déroutante pour la plupart

Si quelqu'un a essayé d'utiliser un lien aka.ms non défini, supprimé ou invalide - comme https://aka.ms/DoesntExist , cela vous amène au moins à Microsoft.com, mais il devrait être beaucoup plus clair qu'il appartient à Microsoft .

Je vois que https://aka.ms, en lui-même, se redirige vers la page de connexion de votre outil de redirection interne est facile pour vous tous, mais ce serait déroutant pour la plupart des utilisateurs.

J'adorerais qu'il y ait une manière pour que https://aka.ms ait une page avec une explication qu'il s'agit d'un service Microsoft, un lien vers une page Microsoft.com/aka-ms-url-shortener ou similaire, et une explication selon laquelle seuls Microsoft ou les sous-traitants autorisés peuvent y accéder pour créer ces liens, et très probablement un bouton «Connexion» en haut à droite pour que vous puissiez tous accéder à https://redirectiontool.trafficmanager.net/am/redirection/home ? options = host : URL aka.ms.

Compte tenu de ces étapes supplémentaires, un utilisateur pourrait

• méfiez-vous naturellement des liens aka.ms (car les raccourcisseurs d'URL pourraient certainement être utilisés à des fins malveillantes pour masquer une URL malveillante), mais pourriez apprendre que aka.ms est un raccourcisseur d'URL digne de confiance car ils
• avoir une confirmation du côté Microsoft des choses que aka.ms est un domaine Microsoft officiel,
• toute personne qui accédait à https://aka.ms par accident ne se verrait pas directement présenter une page de connexion (ce qui est certainement un drapeau rouge de sécurité), mais une explication est un raccourcisseur d'URL Microsoft interne