- Автор темы
- #1
За её обнаружение компания заплатила 50 тыс долларов.
Индийский разработчик Лаксман Мутхия описал найденную им уязвимость в системе безопасности Microsoft. С её помощью специалист мог получить доступ к абсолютно любому аккаунту компании.
В основу найденного Мутхия метода лёг сброс пароля с помощью номера телефона. На первом этапе он предложил использовать элементарный брутфорс для подбора необходимого 7-значного кода подтверждения (их, по его подсчётам, «всего» около 10 млн вариаций).
Экспериментальным путём разработчик выяснил, что Microsoft имеет встроенную защиту от подобного подбора кодов. Компания, заметив большое число попыток за малый промежуток времени, блокирует часть из них.
Так, из более 1 тыс отправленных кодов, всего лишь 122 были приняты. Остальные попытки защитная система заблокировала, вернув ошибку 1211. Также она блокировала аккаунт пользователя, если Мутхия пытался продолжить «угадывание» кода:
Чуть позже специалист выяснил, что проблема заключалась в использовании одного и того же IP-адреса при отправке запросов. В итоге, исправив этот момент, ему удалось обойти систему защиты Microsoft. Отправив около 1 тыс семизначных кодов, один из которых оказался подходящим, девелопер получил доступ к изменению пароля.
Эту же систему он предложил использовать и для аккаунтов с двухфакторной аутентификацией (2FA).
За найденную уязвимость Лаксман Мутхия получил награду от Microsoft — 50 тыс долларов (3,7 млн рублей). В свою очередь ИТ-гигант закрыл обнаруженную дыру в ноябре 2020 года.
Источник