• Добро пожаловать на сайт - Forumteam.digital !

    Что бы просматривать темы форума необходимо зарегестрироваться или войти в свой аккаунт.

    Группа в телеграме (подпишитесь, что бы не потерять нас) - ForumTeam Chat [Подписатся]
    Связь с администратором - @ftmadmin

СМИ Разработчик нашёл способ взломать абсолютно любую учётную запись Microsoft

  • Автор темы Redman
  • Дата начала
  • Ответы 0
  • Просмотры 1K

Redman

<FORUMTEAM>
Команда форума
Регистрация
13.11.17
Сообщения
13.340
Реакции
8.377
Баллы
1.200
FTC
208¢
upload_2021-3-3_20-1-46.png

За её обнаружение компания заплатила 50 тыс долларов.


Индийский разработчик Лаксман Мутхия описал найденную им уязвимость в системе безопасности Microsoft. С её помощью специалист мог получить доступ к абсолютно любому аккаунту компании.

В основу найденного Мутхия метода лёг сброс пароля с помощью номера телефона. На первом этапе он предложил использовать элементарный брутфорс для подбора необходимого 7-значного кода подтверждения (их, по его подсчётам, «всего» около 10 млн вариаций).

Экспериментальным путём разработчик выяснил, что Microsoft имеет встроенную защиту от подобного подбора кодов. Компания, заметив большое число попыток за малый промежуток времени, блокирует часть из них.

Так, из более 1 тыс отправленных кодов, всего лишь 122 были приняты. Остальные попытки защитная система заблокировала, вернув ошибку 1211. Также она блокировала аккаунт пользователя, если Мутхия пытался продолжить «угадывание» кода:

upload_2021-3-3_20-1-3.png
Чуть позже специалист выяснил, что проблема заключалась в использовании одного и того же IP-адреса при отправке запросов. В итоге, исправив этот момент, ему удалось обойти систему защиты Microsoft. Отправив около 1 тыс семизначных кодов, один из которых оказался подходящим, девелопер получил доступ к изменению пароля.

Эту же систему он предложил использовать и для аккаунтов с двухфакторной аутентификацией (2FA).

За найденную уязвимость Лаксман Мутхия получил награду от Microsoft — 50 тыс долларов (3,7 млн рублей). В свою очередь ИТ-гигант закрыл обнаруженную дыру в ноябре 2020 года.

Источник
 
Сверху Снизу