è possibile accedere a qualsiasi account Microsoft attraverso a un bug

 Buongiorno cari lettori, oggi parleremo di un bug di microsoft.

Un cacciatore di bug bounty ha ricevuto $ 50.000 da Microsoft per l'identificazione e la segnalazione di vulnerabilità che implicherebbero la forzatura bruta del codice di sicurezza a 7 cifre inviato a un utente per verificare l'identità e accedere al proprio account.

 

Il ricercatore indipendente di sicurezza e hacker white-hat Laxman Muthiyah ha segnalato a Microsoft una vulnerabilità che potrebbe forzare il codice di sicurezza a 7 cifre inviato al numero di cellulare o all'indirizzo e-mail di un utente per convalidare l'identità e reimpostare la password per ottenere l'accesso all'account.

Microsoft ha assegnato a Muthiyah una ricompensa di $ 50.000 nell'ambito del suo programma di bug bounty per aver segnalato il difetto che potrebbe consentire a un attore di minacce di dirottare praticamente qualsiasi account Microsoft.

Muthiyah non è estraneo all'identificazione di bug critici. Nel 2019 ha identificato un  bug  che poteva consentire a chiunque di effettuare attacchi di forza bruta per l'hacking di account Instagram ed è stato premiato con $ 30.000.

Nel  2015 , Muthiyah ha individuato un difetto che potrebbe consentirgli di eliminare tutte le foto dall'account Facebook di chiunque.

Il difetto recente è un altro scenario di acquisizione dell'account, che consente l'escalation dei privilegi derivante da un bypass di autenticazione utilizzato per verificare il codice inviato come processo di ripristino dell'account.

Difetto consentito aggirando il codice di verifica, accedere a qualsiasi account Microsoft

Bug risolto nel 2020

Microsoft ha corretto il bug nel novembre 2020, molto prima che i dettagli fossero condivisi pubblicamente da Muthiyah nel suo post sul blog pubblicato martedì. I suoi test hanno mostrato che dei 1000 codici inviati, solo 122 sono riusciti a passare e gli altri sono stati bloccati con il codice di errore 1211.

 

Nonostante le barriere crittografiche e i controlli di limitazione della velocità in atto per impedire automaticamente a un utente malintenzionato di inviare automaticamente le 10 milioni di combinazioni di codice, Muthiyah potrebbe violare la funzione di crittografia che nascondeva il codice di sicurezza e inviava più richieste simultanee.

"Mi sono reso conto che stanno inserendo nella blacklist l'indirizzo IP [anche] se tutte le richieste che inviamo non raggiungono il server nello stesso momento. Un ritardo di pochi millisecondi tra le richieste ha permesso al server di rilevare l'attacco e bloccarlo ”, ha scritto Muthiyah nel suo post sul blog .

L'attacco funziona su account non protetti da 2FA

Muthiyah afferma di poter aggirare il vincolo di limitazione della velocità e modificare la password per dirottare un account, ma questo attacco ha funzionato solo su account che non erano protetti dall'autenticazione a due fattori (2FA) . Tuttavia, ha anche affermato che potrebbe essere esteso per sconfiggere i due livelli di protezione e modificare la password dell'account.

"Mettendo tutto insieme, un utente malintenzionato deve inviare tutte le possibilità di codici di sicurezza a 6 e 7 cifre che sarebbero circa 11 milioni di tentativi di richiesta e deve essere inviato contemporaneamente per modificare la password di qualsiasi account Microsoft (compresi quelli con 2FA abilitato) . "

 

"Non è affatto un processo facile inviare un numero così elevato di richieste simultanee, che richiederebbero molte risorse di elaborazione e migliaia di indirizzi IP per completare con successo l'attacco", ha concluso Muthiyah.