Tại sao Microsoft đã định tuyến lưu lượng truy cập example.com đến một công ty ở Nhật Bản?

Cập nhật: trong email được gửi sau khi bài đăng này được phát trực tiếp, người đại diện xác nhận rằng Microsoft đã “cập nhật dịch vụ để không còn cung cấp thông tin máy chủ được đề xuất cho example.com.” Như đã báo cáo ở đây, hành vi chỉ ảnh hưởng đến những người cấu hình tài khoản email thông qua tính năng tự động cấu hình Outlook. Người đại diện nói thêm rằng Microsoft đang điều tra.

Phản hồi mới của JSON cho thấy rằng, kể từ sáng thứ Hai, Microsoft đã không sửa lưu lượng định tuyến điểm cuối đến các máy chủ Sumitomo Electric. Thay vào đó, phản hồi JSON không còn xảy ra nữa. Trường hợp đầu ra xảy ra vào thứ Sáu, lệnh bây giờ chỉ cần ngồi và treo trong 10 hoặc 20 giây rồi kết thúc với lỗi không tìm thấy. Hành vi này có thể được nhìn thấy trong đầu ra sau:

> GET /autodetect/phát hiện?app=outlookdesktopHTTP/2 cơ bản
> Máy chủ: prod.autodetect.outlook.cloud.microsoft
> Ủy quyền: ZW1haWxAZXhhbXBsZS5jb206cGFzc3dvcmQ=
> Tác nhân người dùng: curl/8.14.1
> Chấp nhận: */*
>
* Yêu cầu được gửi hoàn toàn
* TLSv1.3 (IN), bắt tay TLS, Vé phiên tin tức (4):
* TLSv1.3 (IN), bắt tay TLS, Vé phiên tin tức (4):
< HTTP/2 204
< ngày: Thứ Hai, ngày 26 tháng 1 năm 2026 18:23:55 GMT
< máy chủ: Kestrel
< an ninh vận chuyển nghiêm ngặt: tuổi tối đa=2592000
< x-olm-nguồn-điểm cuối: /phát hiện
< x-provider-id: Không xác định
< x-debug-hỗ trợ: eyJkZWNpc2lvbiI6ImF1dG9EdjIgPiBhdXRvRHYxID4gZml4ZWQgZGIgcHJvdmlkZXIgPiBmaXhlZCBkYiBkb21haW4gcHJvdG9jb2xzID4gZGIgcHJvdmlkZXIgPiBkYiBkb21haW4gcHJvdG9jb2xzIiwiYXV0b0QiOnsidjIiOm51bGwsInYxIjpudWxsfSwiZGIiOnsicHJvdmlkZXIiOm51bGwsImRvbWFpbiI6eyJmaXhlZCI6ZmFsc2UsImF1dG9EdjJFbmRwb2ludCI6bnVsbCwicHJvdmlkZXJJZCI6bnVsbCwicHJvdG9jb2xzIjpudWxsfX19
< x-autodv2-lỗi: ENOTFOUND

“Có vẻ như họ đã xóa hoàn toàn điểm cuối xác thực email vì tôi thấy lỗi ‘not found’,” nói Dan Tentler, người sáng lập Tập đoàn Phobos. Như được biểu thị bằng ENOTFOUND, lỗi “gợi ý rằng [quản trị viên Microsoft] vừa xé bỏ bất cứ thứ gì.”

Không rõ làm thế nào tên miền của Sumitomo Electric sẽ tìm thấy chính nó một phần của mớ hỗn độn này. Microsoft năm ngoái nói rằng công ty mẹ của công ty Nhật Bản, Sumitomo Corp., đang triển khai Microsoft 365 Copilot, nhưng điều đó vẫn không giải thích tại sao tên miền của công ty con được thêm vào cấu hình mạng của Microsoft.

Các câu hỏi được gửi tới Microsoft bao gồm: Các bản ghi tự động khám phá được thêm vào Microsoft như thế nào; việc định tuyến có chủ ý không; và hành vi đó đã xảy ra bao lâu? (Tinyapps.org, mà ghi nhận hành vi định tuyến kỳ lạ vào đầu tháng này cho biết nó kéo dài 5 năm.) Có vẻ như không có bất cứ điều gì bất chính về việc định tuyến không đúng và miễn là những người bên trong mạng của Microsoft không gửi thông tin xác thực trực tiếp trong các thử nghiệm, không có nguy hiểm nào được đặt ra.

Vẫn còn lý do để lo lắng. Vào năm 2024, Microsoft tiết lộ rằng một trong những quản trị viên của họ đã gán đặc quyền quản trị cho tài khoản thử nghiệm trên mạng công ty và sau đó quên mất điều đó. Tin tặc nhà nước Nga bị thu giữ bởi sự hớ hênh để có quyền truy cập ban đầu vào hệ thống của Microsoft. Họ tiếp tục truy cập mạng và giám sát email của các giám đốc điều hành hàng đầu trong hai tháng. Cấu hình sai định tuyến ví dụ.com đặt ra câu hỏi: Những lỗi nào khác có thể nghiêm trọng hơn ẩn nấp trên mạng?