@idontusenumbers Спасибо за комментарий! Мы изучим эту проблему и скоро свяжемся с вами.

@idontusenumbers Aka.ms - это внутренняя служба сокращения URL-адресов Microsoft, которая не является общедоступной, поэтому ее невозможно даже близко идентифицировать как URL-адрес фишинг-атаки. Согласно вашему заявлению, похоже, что это всего лишь ваше предположение, но мы заверяем вас, что URL-адрес полностью безопасен и никак не связан с какой-либо фишинг-деятельностью.

Надеюсь, это проясняет ваши сомнения. Если у вас возникнут какие-либо дополнительные вопросы по этому поводу, не стесняйтесь отмечать меня или автора документа @ eross-msft в своем ответе, и мы будем рады уточнить все, что необходимо. Сейчас мы закроем этот вопрос.

Спасибо.

@ MohitDhingra-MSFT @ eross-msft Нет никаких свидетельств того, что aka.ms находится под внутренним контролем или под контролем Microsoft без значительных исследований. Это похоже на то, как банк chase говорит: «Можно вводить учетные данные своего банковского счета на cha.se, потому что мы это контролируем». Даже технически подкованный пользователь не может подтвердить, что это домен Microsoft, потому что он немедленно перенаправляет на другой домен, поэтому сертификат не может быть проверен. Год за годом пользователей учат очень конкретно отмечать такие домены как фишинговые и сообщать об этом в свой ИТ-отдел. По моему (профессиональному) мнению, это огромная ошибка безопасности и никому не приносит пользы. https://microsoft.com/mfasetup будет в 1000 раз лучшим вариантом.

На самом деле, я подумал, что сегодня меня очень умно подставили, выставив очень правдоподобный счет-фактуру, сопровождаемый электронным письмом, в котором мне предлагалось «просмотреть ваше соглашение (я) https://aka.ms/AA1wm3t ». Ага, точно, я собираюсь перейти по ссылке на какой-то сомнительный URL в домене Монсеррат! Спасибо, что разместили здесь добросовестные сообщения на github, это явно не фишинговая атака ;-)

Я согласен. Link Сервисы сокращения ОЧЕНЬ подозрительны. Фактически DoD блокирует их всех (кроме их собственного HA) ... так что все ссылки aka.ms просто не работают для нас. Это действительно становится обычным явлением для предприятий. Причина в том, что мы ОБУЧАЕМ пользователей смотреть URL-адреса, чтобы быть уверенными, что они идут туда, куда они думают. С Link Shorteners вы никогда не можете быть уверены ... независимо от того, насколько "официальная" служба сокращения ссылок.

у меня есть вирус, перенаправляющий на него https://www.hybrid-analysis.com/sample/d03c96928139226641bbd01466dcca67e004a8cb3913f505d2092bd14890a8be?environmentId=120

не все безопасны, проверьте это: schemas.microsoft.com/SMI/2005/WindowsSettings "
Я вижу множество серверов CDN akmai, использующих легитимный контент в качестве логической бомбы в очень продвинутых вирусах, использующих ключи тайм-аута, которые автор вируса может контролировать, чтобы остановить кампании, вытаскивая их ... еще одна странная особенность - это вирусы, шпионящие за пользователями Microsoft, активируя семейный контроль и используя учетные записи Microsoft, чтобы видеть, на что смотрят их жертвы, получая отчеты ... Я серьезно даже не начинаю доверять Microsoft, потому что многие из этих вирусов генерируют такой большой трафик, а Google и Microsoft все получают от них интересные метаданные. .

многие из наиболее активных вирусов, которые я изучаю на данный момент, все подписаны сертификатом, все внесены в белый список Microsoft, все связываются с рекламными службами Google или законными страницами microsoft / полулегальными страницами .... еще одна странная вещь, у меня есть еще один вирус, который использует / встраивает, за которым следует числовая строка в качестве аргумента CLI, а на другом из этих веб-сайтов aka.ms в URL-адресе это контекст URL-адреса, запрашивающий Embeded?

https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=45a330b1-b1ec-4cc1-9161-9f03992aa49f&scope=openid&msafed=0&nonce=a5dfc125-1fd206-407ddb_c125-1fd206-4d05_cdb_c125-1fd206-407 businessstore.microsoft.com/auth/&state=%7B%22encodedRedirectUri%22:%22L21hbmFnZS9vcmdhbml6YXRpb24vYWdyZWVtZW50cw==%22,%22isEmbedded%22:false%7D

Я предлагаю разработчикам Azure прочитать https://www.sans.org/security-awareness-training/blog/secure-options-url-shortening.

Но ... я не думаю, что разумно ожидать, что кто-либо за пределами MS будет доверять (или даже знать) о его контроле над aka.ms. Итак, https://safecomputing.umich.edu/be-aware/phishing-and-suspicious-email/shortened-url-security , я думаю, здесь наиболее актуален ...

@ MohitDhingra-MSFT @ eross-msft Можем ли мы провести более глубокий анализ использования этого сокращенного URL-адреса? С точки зрения пользователя, сокращенный URL-адрес бесполезен и огромные затраты: невозможность выполнить задачу из-за того, что ИТ-отдел блокирует сокращатели URL-адресов или потому, что это воспринимается как фишинговая атака и, следовательно, не выполняется намеренно.

Хммм ... следующим хорошим шагом может быть рассмотрение некоторых конкретных случаев использования aka.ms, а затем их классификация как вариант использования или случай неправильного использования. Это выход из моего круга ответственности - я только конечный пользователь.

Я сейчас откажусь от подписки на эту ветку .... но в качестве прощального подарка у меня есть кейс: письмо, которое я получил месяц назад, со ссылкой aka.ms. Версия с плоским текстом добавляется. Я подавил все, что явно не хеширует PII, и я согласен с риском для конфиденциальности публикации этого дела в общедоступной веб-области.

1. Меня не беспокоит, как перенаправление aka.ms подтягивает мой PII, но когда я (наконец!) Осмелился посетить его несколько минут назад, мой (Chrome) браузер был перенаправлен на https: // login. microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=AAAA&scope=openid&msafed=0&nonce=BBBB&response_mode=form_post&redirect_uri=https : //businessstore.microsoft.com/auth_uri=https: //businessstore.microsoft.com/auth/ed22CSS: //businessstore.microsoft.com/auth/ed222 22,% 22isEmbedded% 22: ложь% 7D & sso_reload = true. Итак: перенаправление aka.ms, по-видимому, намного более мощное, чем перенаправление tinyurl. Однако: я думаю маловероятно, что целевой объект «AA1wm3t» этого aka.ms содержит хешированную версию моей PII, потому что в нем всего 8 символов, и потому что всплывающее окно «Выберите учетную запись» при этом посещении microsoftoneline.com не помогая мне ориентироваться в той части моего ада личных данных, которая непосредственно администрируется MS (т.е. я вижу четыре явных варианта в списке «Выбрать учетную запись», а также вариант «Использовать другую учетную запись».

2. Я подозреваю, что ссылка в формате png - это трекер с хешированной ссылкой на номер моей учетной записи, поэтому я сделал ее анонимной. Это png 115x27, который отображал бы графику MS в моем клиенте Outlook, если бы я когда-либо позволил ему представить мне это письмо в html. (Кстати, я запускаю свой Outlook в режиме только открытого текста, как одну из моих линий защиты от неприятностей с электронной почтой.)

Вот анонимный случай. Игнорируйте, если хотите. Я уже потратил более чем достаточно времени на эту проблему!

Привет,
Кларк

-

От: Microsoft (не отвечать) [email protected]
Отправлено: вторник, 3 декабря 2019 18:12
Кому: Неуказанным получателям:
Тема: Ваш счет Microsoft

http://compass.microsoft.com/assets/eb/68/WWW.png

Ваша выписка по счету Microsoft готова

Организация: XXX

Домен: YYY.com

Ваша выписка по счету готова для просмотра и прикреплена к этому электронному письму.

По умолчанию мы отправляем счета по электронной почте, но вы можете изменить способ получения счетов https://portal.office.com/AdminPortal/Home?ref=BillingNotifications, если хотите.

Спасибо,

Команда Microsoft Online Services

Microsoft уважает вашу конфиденциальность. Ознакомьтесь с нашим заявлением о конфиденциальности в Интернете https://privacy.microsoft.com/en-us/privacystatement .

Дополнительный вопрос?

Посетите сайт поддержки клиентов https://businessstore.microsoft.com/en-us/support .

Просмотрите свое соглашение (я) https://aka.ms/AA1wm3t .

Корпорация Майкрософт
Один путь Microsoft
Редмонд, WA 98052 США
https://mucp.api.account.microsoft.com/m/v2/v?d=ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ

-

Я снова, со вторым случаем использования aka.ms.

В этом кейсе есть дружественная цель aka.ms: ссылка отображается в моем (Acrobat Pro DC) средстве просмотра PDF как https://aka.ms/Office365Billing.

Я был бы очень удивлен, если бы существовал скрытый канал, который позволял этому конкретному перенаправлению aka.ms извлекать мою PII из этого конкретного pdf-документа, но эту возможность, безусловно, стоило бы изучить, будь я разработчиком вредоносных программ или по контракту как аналитик безопасности!

(Примечания к случаю: я отрендерил PDF-вложение моего дела №1 в png, затем вырезал отображаемую PII.)

Спасибо всем за понимание URL-адресов. Мы ценим предоставленные данные, поскольку они помогают формировать наши решения в будущем.
Мы, как команда по контенту, фактически отказываемся от использования коротких URL-адресов aka.ms и вместо этого используем полные URL-адреса сайтов. При этом группы продуктов и другие команды не обязательно меняют свои стили, чтобы отразить это обновление. Кроме того, у нас нет пропускной способности, чтобы вернуться и обновить все ссылки aka.ms, и мы можем обновлять только ссылки, которые мы видим в статьях, которые обновляются или в новых статьях.
Для целей упомянутой статьи MFA я могу войти и обновить эту ссылку до полного URL. Но когда вы найдете дополнительные ссылки, вы можете продолжить и обновить их самостоятельно через GitHub и учетную запись GitHub. Мы просматриваем и читаем / принимаем запросы на вытягивание как от внутренних, так и от внешних клиентов. Если вам нужны инструкции о том, как это сделать, вы можете найти их здесь: https://docs.microsoft.com/en-us/contribute/.

пожалуйста, закрой

Спустя 5 месяцев вы все еще используете этот домен, чтобы побудить владельцев Windows 10 связать свой телефон со своим рабочим столом, чтобы «мне больше никогда не приходилось отправлять фотографии самому себе по электронной почте». Значит, эти фотографии будут отправлены через сервер в Монсеррат? Спасибо, но я полагаю, что вместо этого я просто загрузу их через USB.

Сейчас безопасно что ли?

:)

Я согласен.
Для потребителей, индивидуальных клиентов aka.ms удобен тем, что его легко запомнить и нет серьезных проблем с безопасностью.
Для бизнес-клиентов некоторые из них даже используют брандмауэр Интернета в режиме списка разрешений, вам действительно нужно дать им вескую причину для принятия этого домена.
Я думаю, что Microsoft должна хотя бы официально сделать объявление, заявив что-то вроде
"aka.ms - домен, принадлежащий Microsoft.",
"Этот домен используется Microsoft для ... и ИТ-администраторы могут безопасно добавить его в список разрешенных брандмауэра вашей компании ...",
"Вы можете доверять URL-адресам Microsoft, начинающимся с aka.ms",
что-то такое.

Я согласен.
Для потребителей, индивидуальных клиентов aka.ms удобен тем, что его легко запомнить и нет серьезных проблем с безопасностью.

Существует серьезная проблема безопасности: это похоже на фишинговый URL.

Я думаю, что Microsoft должна хотя бы официально сделать объявление, заявив что-то вроде
"aka.ms - домен, принадлежащий Microsoft.",

Это требует, чтобы каждый человек, который когда-либо получал одну из этих ссылок aka.ms, получил, прочитал и запомнил такое уведомление. Об этом много спрашивать.

Это требует, чтобы каждый человек, который когда-либо получал одну из этих ссылок aka.ms, получил, прочитал и запомнил такое уведомление. Об этом много спрашивать.

Я не думаю, что Microsoft нужно рассылать это объявление всем. Публикация такого уведомления на их веб-сайтах подойдет.

включила бы mircosoft этот домен в свои документы, если бы он не был официальным?

включила бы mircosoft этот домен в свои документы, если бы он не был официальным?

Будет ли хакер, взломавший документы microsoft и переписывающий их, использовать домен, похожий на aka.ms? будет ли хакер использовать microsoft.com?

хотя я думаю, что большая часть этой темы связана с чрезмерным беспокойством по поводу фишинговых URL-адресов, как конечный пользователь, если вы перейдете на голый URL-адрес https://aka.ms , теперь вы будете перенаправлены на https://redirectiontool.trafficmanager.net/ am / redirection / home? options = host : aka.ms, который перенаправляет на страницу входа для инструмента перенаправления MS. Хотя это нигде на экране не отображается - пример экрана .

Если конечный пользователь пытался найти информацию о aka.ms - первое, что появляется в моих результатах поиска, - это множество случаев, когда люди спрашивают, в порядке ли это.

Я просто обновлял веб-сайт, которому помогал, и надеялся найти что-нибудь официальное от Microsoft, объясняющее, что такое Aka.ms, на которое я мог бы ссылаться, и я не мог найти авторитетный / официальный источник для ссылки.

Хуже всего, если неавторизованный (не-Microsoft и не авторизованный гости-клиент Microsoft) должен был полностью войти на страницу - они получат эту ошибку, которая сбивает с толку большинство

Если кто-то попытался использовать неопределенную, удаленную или недействительную ссылку aka.ms, например https://aka.ms/DoesntExist , она приведет вас, по крайней мере, на Microsoft.com, но должно быть намного яснее, что она принадлежит Microsoft. .

Я вижу, что https://aka.ms сам по себе перенаправление на страницу входа в ваш внутренний инструмент перенаправления - это легко для всех вас, но это сбивает с толку большинство пользователей.

Мне бы хотелось, чтобы на https://aka.ms была страница с объяснением, что это служба Microsoft, ссылка на какую-то Microsoft.com/aka-ms-url-shortener или аналогичную страницу и объяснение, что только Microsoft или авторизованные подрядчики могут получить к нему доступ для создания этих ссылок, и, скорее всего, кнопка «Войти» в правом верхнем углу, чтобы все вы могли перейти на https://redirectiontool.trafficmanager.net/am/redirection/home ? options = host : aka.ms URL.

С учетом этих дополнительных шагов пользователь мог

• по понятным причинам относиться к ссылкам aka.ms с подозрением (поскольку средства сокращения URL-адресов, безусловно, могут быть использованы злонамеренно для сокрытия вредоносного URL-адреса), но могут узнать, что aka.ms является надежным средством сокращения URL-адресов, поскольку они
• есть подтверждение со стороны Microsoft, что aka.ms является официальным доменом Microsoft,
• любой, кто случайно зашел на https://aka.ms , не получит напрямую страницу входа (что, безусловно, является красным флажком безопасности), но объяснение, что это внутренний Microsoft URL Shortener