Microsoft просрочила домен Stream — корпоративные сайты наводнил тайский спам
Microsoft забыла домен, а кто-то не забыл азарт.
Старая доменная зона Microsoft Stream была захвачена и начала показывать поддельный сайт Amazon с рекламой онлайн-казино из Таиланда. В результате все сайты SharePoint, где были встроены старые видеоролики с этой платформы, начали отображать спам.
Microsoft Stream — это корпоративный видеосервис, позволяющий организациям загружать и делиться видео в приложениях Microsoft 365, включая Teams и SharePoint.
Ранее весь видеоконтент размещался на портале microsoftstream.com и встраивался в корпоративные сайты именно через этот домен.
В сентябре 2020 года Microsoft объявила, что прекращает поддержку классической версии Microsoft Stream и переносит весь функционал в SharePoint.
Компания порекомендовала организациям перенести свои видеоматериалы на новую платформу до апреля 2024 года — к этому моменту старая служба должна была быть окончательно отключена.
Однако 27 марта 2025 года домен microsoftstream.com оказался в чужих руках. На нём появился фальшивый сайт, маскирующийся под Amazon, который перенаправлял пользователей на онлайн-казино в Таиланде.
Пока неизвестно, был ли сам домен взломан или же злоумышленники просто изменили DNS-записи. Согласно WHOIS, последняя модификация домена действительно произошла 27 марта 2025 года:
Domain Name: MICROSOFTSTREAM.COM Registry Domain ID: 2027086511_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.comlaude.com Registrar URL: http://www.comlaude.com Updated Date: 2025-03-27T02:46:29Z Creation Date: 2016-05-09T22:38:37Z Registry Expiry Date: 2025-05-09T22:38:37Z Registrar: Nom-iq Ltd. dba COM LAUDE Domain Status: clientDeleteProhibited, clientTransferProhibited, clientUpdateProhibited Name Servers: NS1-04.AZURE-DNS.COM, NS2-04.AZURE-DNS.NET, NS3-04.AZURE-DNS.ORG, NS4-04.AZURE-DNS.INFO
Из-за этого инцидента многие сайты SharePoint, на которых всё ещё были встроены видео со старого домена, начали показывать спам вместо контента.
«Сегодня днём один из пользователей сообщил, что на нашем интранете появился подозрительный сайт, связанный с microsoftstream.com. После анализа выяснилось, что домен теперь ведёт на странную страницу, подписанную как ‘Ibiza99’», — написал один из администраторов SharePoint в обсуждении на Reddit .
«Вот это интересно. Мне только что позвонили и сказали, что на нашем сайте SharePoint вместо видео показывается спам. Я сначала не поверил. Оказалось, что встроенное видео ведёт на страницу .aspx, и теперь она точно отображает спам», — подтвердил ещё один пользователь Reddit .
В течение дня домен был снова отключён, и вредоносная страница перестала загружаться.
Однако компания не уточнила, как именно домен оказался в распоряжении злоумышленников.
К счастью, на этот раз атака ограничилась спамом и не перешла в более опасную фазу — например, распространение вредоносных программ через поддельные обновления или другие формы социальной инженерии, которые могли бы автоматически подгружаться на сайты SharePoint.