50.000 Dolarlık Bir Hata, Bilgisayar Korsanlarının Herhangi Bir Microsoft Hesabına Erişmesine İzin Verebilirdi

Microsoft, kötü niyetli bir aktörün kendi bilgisi olmadan kullanıcıların hesaplarını ele geçirmesine izin verebilecek bir kusuru bildirdiği için hata ödül programının bir parçası olarak bağımsız bir güvenlik araştırmacısına 50.000 dolar ödül verdi.

Laxman Muthiyah tarafından bildirilen güvenlik açığı, bir kullanıcının e-posta adresine veya cep telefonu numarasına gönderilen yedi basamaklı güvenlik kodunu, hesaba erişimi kurtarmak için parolayı sıfırlamadan önce kimliğini doğrulamaya zorlamayı amaçlamaktadır.

Başka bir deyişle, hesap devralma senaryosu, hesap kurtarma sürecinin bir parçası olarak gönderilen kodları doğrulamak için kullanılan bir uç noktadaki kimlik doğrulama atlamasından kaynaklanan ayrıcalık artırmanın bir sonucudur .

Şirket, hatanın detayları Salı günü ortaya çıkmadan önce Kasım 2020’de konuyu ele aldı.

Muthiyah, bir saldırganın 10 milyon kod kombinasyonunun tamamını otomatik bir şekilde tekrar tekrar göndermesini engellemek için tasarlanmış şifreleme engelleri ve hız sınırlayıcı kontroller olmasına rağmen, sonunda güvenlik kodunu gizlemek ve aynı anda birden fazla istek göndermek için kullanılan şifreleme işlevini kırdığını söyledi.

Gerçekten de Muthiyah’ın testleri, gönderilen 1000 koddan sadece 122’sinin geçtiğini ve diğerlerinin 1211 hata koduyla engellendiğini gösterdi.

Araştırmacı bir yazıda , “Gönderdiğimiz tüm istekler sunucuya aynı anda ulaşmasa bile IP adresini kara listeye aldıklarını fark ettim,” dedi ve “istekler arasında birkaç milisaniye gecikme sunucunun saldırıyı algılamasına ve engellemesine izin verdi. “

Bu keşfin ardından Muthiyah, hız sınırlama kısıtlamasını aşabildiğini ve şifreyi değiştirmenin bir sonraki adımına ulaşabildiğini ve böylece hesabı ele geçirmesine izin verdiğini söyledi.

Bu saldırı yalnızca hesabın iki faktörlü kimlik doğrulama ile güvence altına alınmadığı durumlarda işe yarasa da, iki koruma katmanını yenmek ve bir hedef hesabın parolasını değiştirmek için genişletilebilir – bu, gerekli bilgi işlem kaynaklarının miktarı göz önüne alındığında engelleyici olabilir. bu tür bir saldırı düzenlemek için.

“Bir araya getirildiğinde, bir saldırganın, yaklaşık 11 milyon istek denemesi olacak 6 ve 7 basamaklı güvenlik kodlarının tüm olasılıklarını göndermesi ve herhangi bir Microsoft hesabının (2FA etkin olanlar dahil) şifresini değiştirmek için eşzamanlı olarak gönderilmesi gerekir. , “Dedi Muthiyah.

Ayrıca Muthiyah , 1000 farklı makineden 200.000 eşzamanlı istek göndererek Instagram’ın hesap kurtarma akışına benzer bir teknik uyguladı ve hesap devralmanın mümkün olduğunu gördü. Şirketin hata ödülü programının bir parçası olarak 30.000 $ ödüllendirildi.

Muthiyah, “Gerçek bir saldırı senaryosunda, saldırganın bir hesabı hacklemek için 5000 IP adresine ihtiyacı var,” dedi. “Kulağa büyük geliyor ama Amazon veya Google gibi bir bulut hizmeti sağlayıcısı kullanıyorsanız bu aslında çok kolay. Bir milyon kodun tam saldırısını gerçekleştirmek yaklaşık 150 dolara mal olur.”

Kaynak :thehackernews.com

>>Diğer Haberler İçin Tıklayınız.

En son haberler

İlgili haberler