微软最近在其漏洞赏金计划中向一名安全人员颁发了5万美元的奖金。“高贵”漏洞难免让人好奇。
据了解,这个漏洞可以让黑客在用户不知情的情况下劫持用户账户。也就是说,当你躺在床上睡个好觉时,黑客可能已经偷偷潜入你的账户,通过账户掌握你的个人信息,用它进行金融交易,创建新账户,或者欺骗你的亲戚朋友,甚至进行更严重的非法活动。
虽然会造成严重影响,但漏洞的使用原理并不复杂。发现其安全人员指出,在用户重置密码之前,漏洞可以强行猜测发送给用户的电子邮件或手机号码的七位数密码,以访问用户账户。
然而,对于发送验证代码HTTP POST请求分析后发现密码在发送前是加密的,这意味着如果要强制破解密码,必须先破解加密。
截图显示,输入的1234567代码在请求中根本不存在。密码加密后发送验证。其目的是防止自动破解工具使用其系统。所以,就像Burp Intruder由于不能破解加密,因此不能使用此类自动测试工具。
然而,尽管目的是防止攻击者重复所有1000万代码组合的加密障碍和限速检查,但安全人员表示,他最终解决了加密功能。
然而,破解加密功能并不意味着攻击将成功。事实上,测试显示,只有122个代码可以通过发送的1000个代码,其他代码可以通过错误代码1211阻止。
对此,安全人员表示,如果所有发送的请求都没有同时到达服务器,他们自己的机制将是IP地址列入黑名单。此外,服务器可以检测到攻击并阻止请求之间的几毫秒延迟。
从攻击范围来看,虽然这种攻击只在账户没有被双因素认证保护的情况下有效,但它仍然可以扩展到击败两层保护并修改目标账户的密码。然而,在实际场景中,该攻击的操作难度并不简单,攻击者必须同时发送安全码,大约要进行1100万次请求尝试,才能更改任何微软账户(包括那些启用2FA账户)密码。这样,就需要大量的计算资源和1000s的IP攻击可以通过地址成功完成。
因此,这种攻击的可行性不高,普通攻击者很难满足攻击条件。
在安全人员向微软报告此漏洞后,微软迅速承认此问题,并于2020年11月处理。
来源:thehackernews