Уязвимость за $50 тыс. позволяла взломать любую учетную запись Microsoft

Уязвимость за $50 тыс. позволяла взломать любую учетную запись Microsoft

Уязвимость позволяла с помощью брутфорса подобрать код , отправляемый пользователю в процессе смены пароля.

Компания Microsoft выплатила независимому исследователю безопасности Лаксману Мутхияху (Laxman Muthiyah) $50 тыс. за обнаруженную уязвимость, позволявшую взламывать учетные записи пользователей без их ведома.

Уязвимость позволяла с помощью брутфорса подобрать семизначный код безопасности, отправляемый пользователю на электронную почту или на телефон для подтверждения его личности в процессе сброса пароля. Другими словами, захват контроля над учетной записью жертвы является результатом повышения привилегий путем обхода механизмов аутентификации на конечной точке, используемой для проверки кодов, отправляемых в процессе восстановления учетной записи.

Microsoft исправила проблему в ноябре прошлого года, но широкой общественности о ней стало известно только на этой неделе.

Хотя существуют барьеры шифрования и проверки с ограничением скорости, предназначенные для предотвращения повторной отправки злоумышленником всех 10 млн комбинаций кодов в автоматическом режиме, в конечном итоге Мутхияху удалось взломать функцию шифрования, используемую для маскировки кода безопасности и отправить множество одновременных запросов.

Как показал тест, из 1 тыс. отправленных исследователем кодов прошли только 122, а остальные были заблокированы с сообщением об ошибке 1211. Мутхиях понял, что его IP-адрес попал в черный список, хотя отправленные им запросы не достигли сервера одновременно. Несколько миллисекунд задержки между запросами позволили серверу обнаружить и заблокировать атаку.

После этого открытия исследователь смог обойти ограничение скорости и перейти к следующему этапу изменения пароля, что позволило ему захватить учетную запись.

Хотя атака работает только в случаях, когда учетная запись не защищена двухфакторной аутентификацией, ее можно расширить, чтобы преодолеть два уровня защиты и в итоге изменить пароль жертвы. Однако на практике такая атака практически неосуществима, поскольку требует огромных вычислительных ресурсов.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!