Уязвимость за $50 тыс. позволяла взломать любую учетную запись Microsoft

Компания Microsoft выплатила независимому исследователю безопасности Лаксману Мутхияху (Laxman Muthiyah) $50 тыс. за обнаруженную уязвимость, позволявшую взламывать учетные записи пользователей без их ведома.

Уязвимость позволяла с помощью брутфорса подобрать семизначный код безопасности, отправляемый пользователю на электронную почту или на телефон для подтверждения его личности в процессе сброса пароля. Другими словами, захват контроля над учетной записью жертвы является результатом повышения привилегий путем обхода механизмов аутентификации на конечной точке, используемой для проверки кодов, отправляемых в процессе восстановления учетной записи.

Microsoft исправила проблему в ноябре прошлого года, но широкой общественности о ней стало известно только на этой неделе.

Хотя существуют барьеры шифрования и проверки с ограничением скорости, предназначенные для предотвращения повторной отправки злоумышленником всех 10 млн комбинаций кодов в автоматическом режиме, в конечном итоге Мутхияху удалось взломать функцию шифрования, используемую для маскировки кода безопасности и отправить множество одновременных запросов.

Как показал тест, из 1 тыс. отправленных исследователем кодов прошли только 122, а остальные были заблокированы с сообщением об ошибке 1211. Мутхиях понял, что его IP-адрес попал в черный список, хотя отправленные им запросы не достигли сервера одновременно. Несколько миллисекунд задержки между запросами позволили серверу обнаружить и заблокировать атаку.

После этого открытия исследователь смог обойти ограничение скорости и перейти к следующему этапу изменения пароля, что позволило ему захватить учетную запись.

Хотя атака работает только в случаях, когда учетная запись не защищена двухфакторной аутентификацией, ее можно расширить, чтобы преодолеть два уровня защиты и в итоге изменить пароль жертвы. Однако на практике такая атака практически неосуществима, поскольку требует огромных вычислительных ресурсов.