Microsoft otorgó a un investigador de seguridad independiente $ 50,000 como parte de su programa de recompensas por errores por informar una falla que podría haber permitido que un actor malicioso secuestrara las cuentas de los usuarios sin su conocimiento.
Informada por Laxman Muthiyah, la vulnerabilidad tiene como objetivo forzar el código de seguridad de siete dígitos que se envía a la dirección de correo electrónico o al número de teléfono móvil de un usuario para corroborar su identidad antes de restablecer la contraseña para recuperar el acceso a la cuenta.
Dicho de otra manera, el escenario de toma de control de la cuenta es una consecuencia de la escalada de privilegios derivada de una omisión de autenticación en un punto final que se utiliza para verificar los códigos enviados como parte del proceso de recuperación de la cuenta.
La compañía abordó el problema en noviembre de 2020, antes de que salieran a la luz los detalles de la falla el martes.
Aunque existen barreras de encriptación y verificaciones de limitación de velocidad diseñadas para evitar que un atacante envíe repetidamente las 10 millones de combinaciones de códigos de manera automática, Muthiyah dijo que finalmente descifró la función de encriptación utilizada para encubrir el código de seguridad y enviar múltiples solicitudes simultáneas. .
De hecho, las pruebas de Muthiyah mostraron que de los 1000 códigos que se enviaron, solo 122 de ellos pasaron, y los demás se bloquearon con el código de error 1211.
«Me di cuenta de que están poniendo en la lista negra la dirección IP [even] si todas las solicitudes que enviamos no llegan al servidor al mismo tiempo «, dijo el investigador en un artículo, y agregó que» unos pocos milisegundos de retraso entre las solicitudes permitieron que el servidor detectara el ataque y lo bloqueara «.
Después de este descubrimiento, Muthiyah dijo que pudo eludir la restricción de limitación de velocidad y llegar al siguiente paso de cambiar la contraseña, lo que le permitió secuestrar la cuenta.
Si bien este ataque solo funciona en los casos en que la cuenta no está protegida por autenticación de dos factores, aún puede extenderse para anular las dos capas de protección y modificar la contraseña de la cuenta de destino, algo que podría ser prohibitivo dada la cantidad de recursos informáticos necesarios. montar un ataque de este tipo.
«Juntando todo, un atacante tiene que enviar todas las posibilidades de códigos de seguridad de 6 y 7 dígitos que serían alrededor de 11 millones de intentos de solicitud y tiene que enviarse simultáneamente para cambiar la contraseña de cualquier cuenta de Microsoft (incluidas aquellas con 2FA habilitado) , «Muthiyah dijo.
Por separado, Muthiyah también empleó una técnica similar al flujo de recuperación de cuentas de Instagram al enviar 200 000 solicitudes simultáneas desde 1000 máquinas diferentes, y descubrió que era posible lograr el control de la cuenta. Fue recompensado con $ 30,000 como parte del programa de recompensas por errores de la compañía.
«En un escenario de ataque real, el atacante necesita 5000 direcciones IP para hackear una cuenta», señaló Muthiyah. «Suena grande, pero en realidad es fácil si usa un proveedor de servicios en la nube como Amazon o Google. Costaría alrededor de 150 dólares realizar el ataque completo de un millón de códigos».
