Haker koji je otkrio kako hakovati Microsoft nalog nagrađen sa 50000 dolara

Vesti, 04.03.2021, 10:30 AM

Haker koji je otkrio kako hakovati Microsoft nalog nagrađen sa 50000 dolara

Istraživač Laksmen Mutaja nagrađen je sa 50000 dolara za otkrivanje ranjivosti koja omogućava preuzimanje bilo kog Microsoft naloga. Međutim, ovo se odnosi samo na korisničke naloge.

Mutaja je prethodno otkrio bag u Instagramu koji se mogao koristiti za preuzimanje naloga, posle čega je na isti način testirao zaštite Microsoft naloga.

Da bi resetovala lozinka za Microsoft nalog, kompanija zahteva email adresu ili broj telefona korisnika na stranici „Zaboravljena lozinka“. Sedmocifreni sigurnosni kod se zatim šalje kao metod verifikacije i treba ga uneti na istoj stranici da bi se kreirala nova lozinka.

Posle brute-force napada kojim je moguće doći do sedmocifrenog koda, moguće je resetovanje lozinke bez dozvole vlasnika naloga. Međutim, da bi se ovakvi napadi zaustavili, Microsoft koristi neke zaštite - ograničava veliki broj pokušaja i šifruje sedmocifreni kod koji se zatim šalje na proveru.

Mutaja je ipak uspeo da savlada Microsoftove zaštite i „automatizuje čitav proces od šifrovanja koda do slanja više istovremenih zahteva“.

Njegov eksperiment je imao 1000 pokušaja slanja koda, ali je 122 prošlo, dok su ostali rezultirali greškom i dalji zahtevi sa probnog naloga su bili blokirani.

Međutim, slanjem istovremenih zahteva, kao što je to radio i sa Instagram nalogom, istraživač je uspeo da zaobiđe i šifrovanje i mehanizam blokiranja sve dok nije bilo kašnjenja u zahtevima, jer je prema njegovim rečima, čak i nekoliko „milisekundi“ bilo dovoljno da se zahtevi otkriju i stave na crnu listu.

Treba napomenuti, da je na ovaj način moguće hakovati Microsoft naloge koji nemaju omogućenu dvofaktornu autentifikaciju (2FA). Kod onih gde je ona omogućena, potrebno je zaobići i tu zaštitu naloga da biste promenili lozinku.

On je testirao napad i na takvom nalogu i otkrio da je i takva zaštita ranjiva na ovu vrstu napada. Napadač mora da unese najpre šestocifreni kod za 2FA kod koji generiše aplikacija Microsoft Authenticator, pa se tek onda traži sedmocifreni kod poslat emailom ili na broj telefona. Tek posle toga je moguće promeniti lozinku.

“Sve u svemu, napadač mora da pošalje sve moguće šestocifrene i sedmocifrene sigurnosne kodove, što bi bilo oko 11 miliona pokušaja zahteva, koji moraju da budu poslati istovremno da bi se promenila lozinka bilo kod Microsoft naloga (uključujući i one sa omogućenom 2FA)”, kaže Mutaja.

Međutim, u stvarnim scenarijima ovakav napad nije jednostavan i za njega je potrebna velika računarska snaga, kao i 1000 IP adresa da bi bio uspešan.

Mutaja je obavestio Microsoft o svom otkriću. On je rekao da je Microsoft “brzo prepoznao problem” i da je zakrpa izdata u novembru 2020.

Microsoft je ovu ranjivost okvalifikovao kao „važnu“ zbog složenosti izvođenja napada.

Nagradu u iznosu od 50000 dolara kompanija je isplatila 9. februara putem platforme HackerOne, koja je partner Microsofta. Microsoft inače nudi istraživačima između 1500 i 100000 dolara za validne izveštaje o bagovima.

Microsoft Security Response Center zahvalio se istraživaču na pomoći.

Foto: Microsoft


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Chrome više neće prikazivati HTTPS indikator na sigurnim sajtovima

Chrome više neće prikazivati HTTPS indikator na sigurnim sajtovima

Google već godinama ulaže napore da podstakne veb sajtove na korišćenje HTTPS-a. Da bi dodatno podstakao programere da koriste samo HTTPS na svo... Dalje

WeTransfer se zloupotrebljava za krađu lozinki, oprezno sa e-mailovima koje dobijate od WeTransfera

WeTransfer se zloupotrebljava za krađu lozinki, oprezno sa e-mailovima koje dobijate od WeTransfera

WeTransfer, servis za deljenje fajlova koji su suviše veliki da biste ih mogli poslati e-mailom, trenutno se zloupotrebljava za krađu Office 365 e-m... Dalje

Zoom pristao da plati 86 miliona dolara zbog ugrožavanja privatnosti korisnika i hakerskih upada u sesije

Zoom pristao da plati 86 miliona dolara zbog ugrožavanja privatnosti korisnika i hakerskih upada u sesije

Platforma za video konferencije Zoom pristala je da plati 86 miliona dolara za rešavanje kolektivne tužbe zbog ugrožavanja privatnosti korisnika u ... Dalje

Izrael pokrenuo istragu protiv proizvođača špijunskog softvera Pegaz

Izrael pokrenuo istragu protiv proizvođača špijunskog softvera Pegaz

Izraelske vlasti pokrenule su istragu protiv proizvođača softvera za nadzor, izraelske kompanije NSO Grupa, zbog izveštaja koji je nedavno objavio ... Dalje

Ucenjeni ucenjivači: Napadnut forum ransomware bande, napadač traži 5000 dolara

Ucenjeni ucenjivači: Napadnut forum ransomware bande, napadač traži 5000 dolara

Rebrendiranje ransomware bande Babuk čini se ne ide baš najbolje. Izgleda da je ova kriminalna grupa i sama postala žrtva ucene. Poslednji poduhvat... Dalje