Haker koji je otkrio kako hakovati Microsoft nalog nagrađen sa 50000 dolara

Vesti, 04.03.2021, 10:30 AM

Istraživač Laksmen Mutaja nagrađen je sa 50000 dolara za otkrivanje ranjivosti koja omogućava preuzimanje bilo kog Microsoft naloga. Međutim, ovo se odnosi samo na korisničke naloge.

Mutaja je prethodno otkrio bag u Instagramu koji se mogao koristiti za preuzimanje naloga, posle čega je na isti način testirao zaštite Microsoft naloga.

Da bi resetovala lozinka za Microsoft nalog, kompanija zahteva email adresu ili broj telefona korisnika na stranici „Zaboravljena lozinka“. Sedmocifreni sigurnosni kod se zatim šalje kao metod verifikacije i treba ga uneti na istoj stranici da bi se kreirala nova lozinka.

Posle brute-force napada kojim je moguće doći do sedmocifrenog koda, moguće je resetovanje lozinke bez dozvole vlasnika naloga. Međutim, da bi se ovakvi napadi zaustavili, Microsoft koristi neke zaštite - ograničava veliki broj pokušaja i šifruje sedmocifreni kod koji se zatim šalje na proveru.

Mutaja je ipak uspeo da savlada Microsoftove zaštite i „automatizuje čitav proces od šifrovanja koda do slanja više istovremenih zahteva“.

Njegov eksperiment je imao 1000 pokušaja slanja koda, ali je 122 prošlo, dok su ostali rezultirali greškom i dalji zahtevi sa probnog naloga su bili blokirani.

Međutim, slanjem istovremenih zahteva, kao što je to radio i sa Instagram nalogom, istraživač je uspeo da zaobiđe i šifrovanje i mehanizam blokiranja sve dok nije bilo kašnjenja u zahtevima, jer je prema njegovim rečima, čak i nekoliko „milisekundi“ bilo dovoljno da se zahtevi otkriju i stave na crnu listu.

Treba napomenuti, da je na ovaj način moguće hakovati Microsoft naloge koji nemaju omogućenu dvofaktornu autentifikaciju (2FA). Kod onih gde je ona omogućena, potrebno je zaobići i tu zaštitu naloga da biste promenili lozinku.

On je testirao napad i na takvom nalogu i otkrio da je i takva zaštita ranjiva na ovu vrstu napada. Napadač mora da unese najpre šestocifreni kod za 2FA kod koji generiše aplikacija Microsoft Authenticator, pa se tek onda traži sedmocifreni kod poslat emailom ili na broj telefona. Tek posle toga je moguće promeniti lozinku.

“Sve u svemu, napadač mora da pošalje sve moguće šestocifrene i sedmocifrene sigurnosne kodove, što bi bilo oko 11 miliona pokušaja zahteva, koji moraju da budu poslati istovremno da bi se promenila lozinka bilo kod Microsoft naloga (uključujući i one sa omogućenom 2FA)”, kaže Mutaja.

Međutim, u stvarnim scenarijima ovakav napad nije jednostavan i za njega je potrebna velika računarska snaga, kao i 1000 IP adresa da bi bio uspešan.

Mutaja je obavestio Microsoft o svom otkriću. On je rekao da je Microsoft “brzo prepoznao problem” i da je zakrpa izdata u novembru 2020.

Microsoft je ovu ranjivost okvalifikovao kao „važnu“ zbog složenosti izvođenja napada.

Nagradu u iznosu od 50000 dolara kompanija je isplatila 9. februara putem platforme HackerOne, koja je partner Microsofta. Microsoft inače nudi istraživačima između 1500 i 100000 dolara za validne izveštaje o bagovima.

Microsoft Security Response Center zahvalio se istraživaču na pomoći.

Foto: Microsoft