Haker koji je otkrio kako hakovati Microsoft nalog nagrađen sa 50000 dolara

Vesti, 04.03.2021, 10:30 AM

Haker koji je otkrio kako hakovati Microsoft nalog nagrađen sa 50000 dolara

Istraživač Laksmen Mutaja nagrađen je sa 50000 dolara za otkrivanje ranjivosti koja omogućava preuzimanje bilo kog Microsoft naloga. Međutim, ovo se odnosi samo na korisničke naloge.

Mutaja je prethodno otkrio bag u Instagramu koji se mogao koristiti za preuzimanje naloga, posle čega je na isti način testirao zaštite Microsoft naloga.

Da bi resetovala lozinka za Microsoft nalog, kompanija zahteva email adresu ili broj telefona korisnika na stranici „Zaboravljena lozinka“. Sedmocifreni sigurnosni kod se zatim šalje kao metod verifikacije i treba ga uneti na istoj stranici da bi se kreirala nova lozinka.

Posle brute-force napada kojim je moguće doći do sedmocifrenog koda, moguće je resetovanje lozinke bez dozvole vlasnika naloga. Međutim, da bi se ovakvi napadi zaustavili, Microsoft koristi neke zaštite - ograničava veliki broj pokušaja i šifruje sedmocifreni kod koji se zatim šalje na proveru.

Mutaja je ipak uspeo da savlada Microsoftove zaštite i „automatizuje čitav proces od šifrovanja koda do slanja više istovremenih zahteva“.

Njegov eksperiment je imao 1000 pokušaja slanja koda, ali je 122 prošlo, dok su ostali rezultirali greškom i dalji zahtevi sa probnog naloga su bili blokirani.

Međutim, slanjem istovremenih zahteva, kao što je to radio i sa Instagram nalogom, istraživač je uspeo da zaobiđe i šifrovanje i mehanizam blokiranja sve dok nije bilo kašnjenja u zahtevima, jer je prema njegovim rečima, čak i nekoliko „milisekundi“ bilo dovoljno da se zahtevi otkriju i stave na crnu listu.

Treba napomenuti, da je na ovaj način moguće hakovati Microsoft naloge koji nemaju omogućenu dvofaktornu autentifikaciju (2FA). Kod onih gde je ona omogućena, potrebno je zaobići i tu zaštitu naloga da biste promenili lozinku.

On je testirao napad i na takvom nalogu i otkrio da je i takva zaštita ranjiva na ovu vrstu napada. Napadač mora da unese najpre šestocifreni kod za 2FA kod koji generiše aplikacija Microsoft Authenticator, pa se tek onda traži sedmocifreni kod poslat emailom ili na broj telefona. Tek posle toga je moguće promeniti lozinku.

“Sve u svemu, napadač mora da pošalje sve moguće šestocifrene i sedmocifrene sigurnosne kodove, što bi bilo oko 11 miliona pokušaja zahteva, koji moraju da budu poslati istovremno da bi se promenila lozinka bilo kod Microsoft naloga (uključujući i one sa omogućenom 2FA)”, kaže Mutaja.

Međutim, u stvarnim scenarijima ovakav napad nije jednostavan i za njega je potrebna velika računarska snaga, kao i 1000 IP adresa da bi bio uspešan.

Mutaja je obavestio Microsoft o svom otkriću. On je rekao da je Microsoft “brzo prepoznao problem” i da je zakrpa izdata u novembru 2020.

Microsoft je ovu ranjivost okvalifikovao kao „važnu“ zbog složenosti izvođenja napada.

Nagradu u iznosu od 50000 dolara kompanija je isplatila 9. februara putem platforme HackerOne, koja je partner Microsofta. Microsoft inače nudi istraživačima između 1500 i 100000 dolara za validne izveštaje o bagovima.

Microsoft Security Response Center zahvalio se istraživaču na pomoći.

Foto: Microsoft


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bela kuća i formalno optužila rusku vladu za hakovanje SolarWindsa

Bela kuća i formalno optužila rusku vladu za hakovanje SolarWindsa

Vlada Sjedinjenih Država i formalno je optužila rusku vladu za napad na IT infrastrukturu kompanije SolarWinds, koji je ruskim hakerima omogućio p... Dalje

Hakovanje WhatsAppa: evo kako lako možete ostati bez svog WhatsApp naloga

Hakovanje WhatsAppa: evo kako lako možete ostati bez svog WhatsApp naloga

WhatsApp verifikuje naloge putem telefonskog broja. Broj koji koristite za verifikaciju naloga treba da bude isti kao i onaj koji koristite na telefon... Dalje

Vivaldi, Brave i DuckDuckGo odbili novu Googleovu tehnologiju praćenja koja navodno štiti privatnost korisnika

Vivaldi, Brave i DuckDuckGo odbili novu Googleovu tehnologiju praćenja koja navodno štiti privatnost korisnika

Prošlog meseca Google je najavio uvođenje nove funkcije pod nazivom Federated Learning of Cohorts (FLoC) za Chrome pregledač i veb sajtove koji pri... Dalje

SAD planiraju sankcije protiv Rusije kao odmazdu za sajber napade

SAD planiraju sankcije protiv Rusije kao odmazdu za sajber napade

Američka vlada navodno planira uvođenje niza sankcija protiv Rusije kao odmazdu za sajber napade na SAD, ali i zbog navodnog mešanja u predsedničk... Dalje

Nova politika privatnosti WhatsAppa je nezakonita?

Nova politika privatnosti WhatsAppa je nezakonita?

WhatsApp se suočava sa brojnim kritikama otkako je kompanija najavila novu politiku privatnosti koja će omogućiti Facebooku, u čijem je vlasniš... Dalje