Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Уязвимость за $50 тыс. позволяла взломать любую учетную запись Microsoft

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 04-05-2025, 10:37 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Уязвимость позволяла с помощью брутфорса подобрать код , отправляемый пользователю в процессе смены пароля.

Компания Microsoft выплатила независимому исследователю безопасности Лаксману Мутхияху (Laxman Muthiyah) $50 тыс. за обнаруженную уязвимость, позволявшую взламывать учетные записи пользователей без их ведома.
Уязвимость позволяла с помощью брутфорса подобрать семизначный код безопасности, отправляемый пользователю на электронную почту или на телефон для подтверждения его личности в процессе сброса пароля. Другими словами, захват контроля над учетной записью жертвы является результатом повышения привилегий путем обхода механизмов аутентификации на конечной точке, используемой для проверки кодов, отправляемых в процессе восстановления учетной записи.
Microsoft исправила проблему в ноябре прошлого года, но широкой общественности о ней стало известно только на этой неделе.
Хотя существуют барьеры шифрования и проверки с ограничением скорости, предназначенные для предотвращения повторной отправки злоумышленником всех 10 млн комбинаций кодов в автоматическом режиме, в конечном итоге Мутхияху удалось взломать функцию шифрования, используемую для маскировки кода безопасности и отправить множество одновременных запросов.
Как показал тест, из 1 тыс. отправленных исследователем кодов прошли только 122, а остальные были заблокированы с сообщением об ошибке 1211. Мутхиях понял, что его IP-адрес попал в черный список, хотя отправленные им запросы не достигли сервера одновременно. Несколько миллисекунд задержки между запросами позволили серверу обнаружить и заблокировать атаку.
После этого открытия исследователь смог обойти ограничение скорости и перейти к следующему этапу изменения пароля, что позволило ему захватить учетную запись.
Хотя атака работает только в случаях, когда учетная запись не защищена двухфакторной аутентификацией, ее можно расширить, чтобы преодолеть два уровня защиты и в итоге изменить пароль жертвы. Однако на практике такая атака практически неосуществима, поскольку требует огромных вычислительных ресурсов.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 06:54 PM.

Contact Us - Carder.life - Archive - Top