一位安全研究人员表示,微软已向他发放50,000美元的悬赏奖励,因为他提交了一个漏洞,该漏洞可能允许任何微软账户被接管。
位于印度的相关安全研究人员透露,该漏洞可能被滥用来重置微软在线服务上任何账户的密码,但利用起来并不容易。
研究人员解释说,该漏洞的攻击目标是微软已经实施的密码恢复过程,该过程通常要求用户输入电子邮件或电话号码以接收安全码,然后输入该密码。通常情况下,用户会收到一个7位数的安全码。这意味着向用户提供了1000万个可能的密码之一。想要获得目标用户账户的访问权限,攻击者需猜到正确的密码,或穷举尽可能多的密码,直到输入正确为止。
微软拥有一系列防攻击的安全机制,包括限制防止自动暴力破解的尝试次数,以及将连续多次尝试的IP地址列入黑名单等。但是,相关安全研究员人员发现的不仅是一种自动发送请求的技术,而且是已实现的事实,即如果请求同时到达服务器,系统将不再阻止请求(即使最短的延迟也会触发防御机制)。
研究人员说:“我发送了大约1000个七位数密码,其中包括正确的密码,并能够进行下一步更改密码。”
研究人员说,该攻击对未启用双重身份验证(2FA)的账户有效,但即便使用相同类型的攻击,也可以绕过第二步身份验证。具体来说,首先会提示用户提供其身份验证应用程序生成的6位数字代码,然后再通过电子邮件或电话接收7位数字代码,以此两相结合。攻击者必须发送6和7位安全码的所有可能性,这将是大约1100万次请求尝试,并且必须同时发送以更改任何微软账户(包括启用了2FA的密码)的密码。
该漏洞已于去年通过报告提交给了微软,官方也于11月推出了一个补丁进行处理。作为其漏洞赏金计划的一部分,微软授予该研究人员50,000美元的赏金,评估该漏洞的严重性等级为“重要”,并将其视为“特权升级(特权升级是由于端点处的身份验证绕过而产生的,该身份验证被用于作为账户恢复过程的一部分。)”。
研究人员指出,漏洞没有被评为严重性的唯一原因是攻击的复杂性。要处理和发送大量并发请求,攻击者将需要大量的计算能力,并且需要能够欺骗成千上万个IP地址。
参考链接:https://www.securityweek.com/Microsoft-pays-50000-bounty-account-takeover-vulnerability
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:securityweek
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照