一位安全研究人員表示，微軟已向他發(fā)放50,000美元的懸賞獎(jiǎng)勵(lì)，因?yàn)樗峤涣艘粋€(gè)漏洞，該漏洞可能允許任何微軟賬戶被接管。

位于印度的相關(guān)安全研究人員透露，該漏洞可能被濫用來(lái)重置微軟在線服務(wù)上任何賬戶的密碼，但利用起來(lái)并不容易。

研究人員解釋說(shuō)，該漏洞的攻擊目標(biāo)是微軟已經(jīng)實(shí)施的密碼恢復(fù)過(guò)程，該過(guò)程通常要求用戶輸入電子郵件或電話號(hào)碼以接收安全碼，然后輸入該密碼。通常情況下，用戶會(huì)收到一個(gè)7位數(shù)的安全碼。這意味著向用戶提供了1000萬(wàn)個(gè)可能的密碼之一。想要獲得目標(biāo)用戶賬戶的訪問(wèn)權(quán)限，攻擊者需猜到正確的密碼，或窮舉盡可能多的密碼，直到輸入正確為止。

微軟擁有一系列防攻擊的安全機(jī)制，包括限制防止自動(dòng)暴力破解的嘗試次數(shù)，以及將連續(xù)多次嘗試的IP地址列入黑名單等。但是，相關(guān)安全研究員人員發(fā)現(xiàn)的不僅是一種自動(dòng)發(fā)送請(qǐng)求的技術(shù)，而且是已實(shí)現(xiàn)的事實(shí)，即如果請(qǐng)求同時(shí)到達(dá)服務(wù)器，系統(tǒng)將不再阻止請(qǐng)求（即使最短的延遲也會(huì)觸發(fā)防御機(jī)制）。

研究人員說(shuō)：“我發(fā)送了大約1000個(gè)七位數(shù)密碼，其中包括正確的密碼，并能夠進(jìn)行下一步更改密碼。”

研究人員說(shuō)，該攻擊對(duì)未啟用雙重身份驗(yàn)證（2FA）的賬戶有效，但即便使用相同類(lèi)型的攻擊，也可以繞過(guò)第二步身份驗(yàn)證。具體來(lái)說(shuō)，首先會(huì)提示用戶提供其身份驗(yàn)證應(yīng)用程序生成的6位數(shù)字代碼，然后再通過(guò)電子郵件或電話接收7位數(shù)字代碼，以此兩相結(jié)合。攻擊者必須發(fā)送6和7位安全碼的所有可能性，這將是大約1100萬(wàn)次請(qǐng)求嘗試，并且必須同時(shí)發(fā)送以更改任何微軟賬戶（包括啟用了2FA的密碼）的密碼。

該漏洞已于去年通過(guò)報(bào)告提交給了微軟，官方也于11月推出了一個(gè)補(bǔ)丁進(jìn)行處理。作為其漏洞賞金計(jì)劃的一部分，微軟授予該研究人員50,000美元的賞金，評(píng)估該漏洞的嚴(yán)重性等級(jí)為“重要”，并將其視為“特權(quán)升級(jí)（特權(quán)升級(jí)是由于端點(diǎn)處的身份驗(yàn)證繞過(guò)而產(chǎn)生的，該身份驗(yàn)證被用于作為賬戶恢復(fù)過(guò)程的一部分。）”。

研究人員指出，漏洞沒(méi)有被評(píng)為嚴(yán)重性的唯一原因是攻擊的復(fù)雜性。要處理和發(fā)送大量并發(fā)請(qǐng)求，攻擊者將需要大量的計(jì)算能力，并且需要能夠欺騙成千上萬(wàn)個(gè)IP地址。

參考鏈接：https://www.securityweek.com/Microsoft-pays-50000-bounty-account-takeover-vulnerability

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:securityweek

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明