Microsoft đã trao thưởng cho một nhà nghiên cứu bảo mật độc lập 50.000 USD như một phần của chương trình thưởng lỗi (bug bounty) vì đã báo cáo một lỗ hổng có thể cho phép một kẻ xấu chiếm đoạt tài khoản của người dùng mà họ không hề hay biết.

Theo báo cáo của Laxman Muthiyah, lỗ hổng này nhằm bruteforce mã bảo mật gồm bảy chữ số được gửi đến địa chỉ email hoặc số điện thoại di động của người dùng để chứng thực danh tính của họ trước khi đặt lại mật khẩu nhằm khôi phục quyền truy cập vào tài khoản.

Nói cách khác, tình huống tiếp quản tài khoản là hệ quả của việc leo thang đặc quyền xuất phát từ việc bỏ qua xác thực tại một điểm cuối được sử dụng để xác minh các mã được gửi như một phần của quá trình khôi phục tài khoản .

Công ty đã giải quyết vấn đề vào tháng 11 năm 2020, trước khi chi tiết về lỗ hổng được đưa ra ánh sáng vào thứ Ba.

Mặc dù có các rào cản mã hóa và kiểm tra giới hạn tốc độ được thiết kế để ngăn kẻ tấn công liên tục gửi tất cả 10 triệu tổ hợp mã theo cách tự động, Muthiyah cho biết cuối cùng anh ta đã bẻ khóa chức năng mã hóa được sử dụng để che giấu mã bảo mật và gửi nhiều yêu cầu đồng thời. .

Thật vậy, các thử nghiệm của Muthiyah cho thấy trong số 1000 mã được gửi đi, chỉ có 122 mã trong số đó vượt qua được, còn những mã khác bị chặn với mã lỗi 1211.

“Tôi nhận ra rằng họ đang đưa địa chỉ IP vào danh sách đen [thậm chí] nếu tất cả các yêu cầu chúng tôi gửi không đến máy chủ cùng một lúc”, nhà nghiên cứu cho biết trong một bài viết, thêm rằng “độ trễ vài mili giây giữa các yêu cầu đã cho phép máy chủ phát hiện cuộc tấn công và chặn nó. “

Sau phát hiện này, Muthiyah cho biết anh ta đã có thể vượt qua ràng buộc giới hạn và đạt được bước tiếp theo là thay đổi mật khẩu, do đó cho phép anh ta chiếm đoạt tài khoản.

Mặc dù cuộc tấn công này chỉ hoạt động trong trường hợp tài khoản không được bảo mật bằng xác thực hai yếu tố, nhưng nó vẫn có thể được mở rộng để đánh bại hai lớp bảo vệ và sửa đổi mật khẩu của tài khoản mục tiêu – điều có thể bị cấm với số lượng tài nguyên máy tính cần thiết để thực hiện một cuộc tấn công kiểu này.

“Tổng hợp tất cả lại với nhau, kẻ tấn công phải gửi tất cả các khả năng của mã bảo mật 6 và 7 chữ số sẽ có khoảng 11 triệu lần yêu cầu và nó phải được gửi đồng thời để thay đổi mật khẩu của bất kỳ tài khoản Microsoft nào (bao gồm cả những tài khoản đã bật 2FA) , ”Muthiyah nói.

Ngoài ra, Muthiyah cũng sử dụng một kỹ thuật tương tự đối với quy trình khôi phục tài khoản của Instagram bằng cách gửi 200.000 yêu cầu đồng thời từ 1.000 máy khác nhau, nhận thấy rằng có thể đạt được quyền tiếp quản tài khoản. Anh ta đã được thưởng 30.000 đô la như một phần của chương trình tiền thưởng lỗi của công ty.

“Trong một kịch bản tấn công thực sự, kẻ tấn công cần 5000 địa chỉ IP để hack một tài khoản”, Muthiyah lưu ý. “Nghe có vẻ to tát nhưng điều đó thực sự dễ dàng nếu bạn sử dụng một nhà cung cấp dịch vụ đám mây như Amazon hoặc Google. Sẽ tốn khoảng 150 đô la để thực hiện cuộc tấn công hoàn chỉnh một triệu mã.”