Разработчик нашёл способ взломать абсолютно любую учётную запись Microsoft
Новости
За её обнаружение компания заплатила 50 тыс долларов.
2К открытий2К показов
Индийский разработчик Лаксман Мутхия описал найденную им уязвимость в системе безопасности Microsoft. С её помощью специалист мог получить доступ к абсолютно любому аккаунту компании.
В основу найденного Мутхия метода лёг сброс пароля с помощью номера телефона. На первом этапе он предложил использовать элементарный брутфорс для подбора необходимого 7-значного кода подтверждения (их, по его подсчётам, «всего» около 10 млн вариаций).
Экспериментальным путём разработчик выяснил, что Microsoft имеет встроенную защиту от подобного подбора кодов. Компания, заметив большое число попыток за малый промежуток времени, блокирует часть из них.
Так, из более 1 тыс отправленных кодов, всего лишь 122 были приняты. Остальные попытки защитная система заблокировала, вернув ошибку 1211. Также она блокировала аккаунт пользователя, если Мутхия пытался продолжить «угадывание» кода:
Чуть позже специалист выяснил, что проблема заключалась в использовании одного и того же IP-адреса при отправке запросов. В итоге, исправив этот момент, ему удалось обойти систему защиты Microsoft. Отправив около 1 тыс семизначных кодов, один из которых оказался подходящим, девелопер получил доступ к изменению пароля.
Эту же систему он предложил использовать и для аккаунтов с двухфакторной аутентификацией (2FA).
За найденную уязвимость Лаксман Мутхия получил награду от Microsoft — 50 тыс долларов (3,7 млн рублей). В свою очередь ИТ-гигант закрыл обнаруженную дыру в ноябре 2020 года.
Источник: The Zero Hack
2К открытий2К показов