منحت Microsoft باحثًا مستقلًا للأمان 50000 دولار كجزء من برنامج Bug Bounty للإبلاغ عن عيب كان يمكن أن يسمح لممثل ضار باختطاف حسابات المستخدمين دون معرفةهم.
أبلغت Laxman Muthiyah ، فإن الضعف يهدف إلى الغشاش في قناة رمز الأمان المكون من سبعة أرقام يتم إرساله إلى عنوان بريد إلكتروني للمستخدم أو رقم الهاتف المحمول لتأكيد هويته (أو لها) قبل إعادة تعيين كلمة المرور من أجل استرداد الوصول إلى الحساب.
بعبارة أخرى ، سيناريو استحواذ الحساب هو نتيجة لتصعيد الامتياز الناجمة عن الالتفافية المصادقة عند نقطة نهاية تستخدم للتحقق من الرموز المرسلة كجزء من عملية استرداد الحساب.
عالجت الشركة القضية في نوفمبر 2020 ، قبل أن تظهر تفاصيل العيب يوم الثلاثاء.
على الرغم من أن هناك حواجز تشفير وشيكات تحد من الأسعار مصممة لمنع المهاجم من تقديم جميع مجموعات الرموز البالغ عددها 10 ملايين من الرموز بشكل متكرر بطريقة آلية ، قال Muthiyah إنه قام في نهاية المطاف بتكسير وظيفة التشفير المستخدمة في رمز الأمان وإرسال طلبات متعددة متزامنة.
في الواقع ، أظهرت اختبارات Muthiyah أنه من بين 1000 رمز تم إرسالها ، حصل 122 منها فقط ، مع حظر الآخرين برمز الخطأ 1211.
“لقد أدركت أنهم يقومون بإدراج عنوان IP (حتى) إذا كانت جميع الطلبات التي نرسلها لا تضغط على الخادم في نفس الوقت” قال في الكتابة ، مضيفًا أن “تأخير بضع مللي ثانية بين الطلبات سمح للخادم باكتشاف الهجوم وحظره.”
بعد هذا الاكتشاف ، قال Muthiyah إنه كان قادرًا على الالتفاف على القيد الذي يحد من الأسعار والوصول إلى الخطوة التالية لتغيير كلمة المرور ، وبالتالي السماح له باختطاف الحساب.
على الرغم من أن هذا الهجوم لا يعمل إلا في الحالات التي لا يتم فيها تأمين الحساب بواسطة مصادقة ثنائية العوامل ، إلا أنه لا يزال من الممكن تمديده لهزيمة طبقتين من الحماية وتعديل كلمة مرور الحساب المستهدف-وهو أمر يمكن أن يكون باهظًا نظرًا لمقدار موارد الحوسبة المطلوبة لتركيب هجوم من هذا النوع.
وقال موثى: “تجميع كل شيء ، يتعين على المهاجم إرسال جميع إمكانيات رموز الأمان التي تبلغ 6 و 7 أرقام والتي ستكون حوالي 11 مليون محاولة للطلب ويجب إرسالها بشكل متزامن لتغيير كلمة مرور أي حساب Microsoft (بما في ذلك أولئك الذين يتم تمكينهم 2FA)”.
بشكل منفصل ، استخدم Muthiyah أيضًا تقنية مماثلة لتدفق استعادة حساب Instagram من خلال إرسال 200000 طلب متزامن من 1000 آلة مختلفة ، ووجد أنه من الممكن تحقيق الاستيلاء على الحساب. تم مكافأته 30،000 دولار كجزء من برنامج Bug Bounty للشركة.
“في سيناريو الهجوم الحقيقي ، يحتاج المهاجم إلى 5000 عنوان IP لاختراق حساب” ، أشار Muthiyah. “يبدو الأمر كبيرًا ولكن هذا أمر سهل بالفعل إذا كنت تستخدم مزود خدمة سحابية مثل Amazon أو Google. سيكلف حوالي 150 دولارًا لإجراء الهجوم الكامل لمليون رمز.”
منحت Microsoft باحثًا مستقلًا للأمان 50000 دولار كجزء من برنامج Bug Bounty للإبلاغ عن عيب كان يمكن أن يسمح لممثل ضار باختطاف حسابات المستخدمين دون معرفةهم.
أبلغت Laxman Muthiyah ، فإن الضعف يهدف إلى الغشاش في قناة رمز الأمان المكون من سبعة أرقام يتم إرساله إلى عنوان بريد إلكتروني للمستخدم أو رقم الهاتف المحمول لتأكيد هويته (أو لها) قبل إعادة تعيين كلمة المرور من أجل استرداد الوصول إلى الحساب.
بعبارة أخرى ، سيناريو استحواذ الحساب هو نتيجة لتصعيد الامتياز الناجمة عن الالتفافية المصادقة عند نقطة نهاية تستخدم للتحقق من الرموز المرسلة كجزء من عملية استرداد الحساب.
عالجت الشركة القضية في نوفمبر 2020 ، قبل أن تظهر تفاصيل العيب يوم الثلاثاء.
على الرغم من أن هناك حواجز تشفير وشيكات تحد من الأسعار مصممة لمنع المهاجم من تقديم جميع مجموعات الرموز البالغ عددها 10 ملايين من الرموز بشكل متكرر بطريقة آلية ، قال Muthiyah إنه قام في نهاية المطاف بتكسير وظيفة التشفير المستخدمة في رمز الأمان وإرسال طلبات متعددة متزامنة.
في الواقع ، أظهرت اختبارات Muthiyah أنه من بين 1000 رمز تم إرسالها ، حصل 122 منها فقط ، مع حظر الآخرين برمز الخطأ 1211.
“لقد أدركت أنهم يقومون بإدراج عنوان IP (حتى) إذا كانت جميع الطلبات التي نرسلها لا تضغط على الخادم في نفس الوقت” قال في الكتابة ، مضيفًا أن “تأخير بضع مللي ثانية بين الطلبات سمح للخادم باكتشاف الهجوم وحظره.”
بعد هذا الاكتشاف ، قال Muthiyah إنه كان قادرًا على الالتفاف على القيد الذي يحد من الأسعار والوصول إلى الخطوة التالية لتغيير كلمة المرور ، وبالتالي السماح له باختطاف الحساب.
على الرغم من أن هذا الهجوم لا يعمل إلا في الحالات التي لا يتم فيها تأمين الحساب بواسطة مصادقة ثنائية العوامل ، إلا أنه لا يزال من الممكن تمديده لهزيمة طبقتين من الحماية وتعديل كلمة مرور الحساب المستهدف-وهو أمر يمكن أن يكون باهظًا نظرًا لمقدار موارد الحوسبة المطلوبة لتركيب هجوم من هذا النوع.
وقال موثى: “تجميع كل شيء ، يتعين على المهاجم إرسال جميع إمكانيات رموز الأمان التي تبلغ 6 و 7 أرقام والتي ستكون حوالي 11 مليون محاولة للطلب ويجب إرسالها بشكل متزامن لتغيير كلمة مرور أي حساب Microsoft (بما في ذلك أولئك الذين يتم تمكينهم 2FA)”.
بشكل منفصل ، استخدم Muthiyah أيضًا تقنية مماثلة لتدفق استعادة حساب Instagram من خلال إرسال 200000 طلب متزامن من 1000 آلة مختلفة ، ووجد أنه من الممكن تحقيق الاستيلاء على الحساب. تم مكافأته 30،000 دولار كجزء من برنامج Bug Bounty للشركة.
“في سيناريو الهجوم الحقيقي ، يحتاج المهاجم إلى 5000 عنوان IP لاختراق حساب” ، أشار Muthiyah. “يبدو الأمر كبيرًا ولكن هذا أمر سهل بالفعل إذا كنت تستخدم مزود خدمة سحابية مثل Amazon أو Google. سيكلف حوالي 150 دولارًا لإجراء الهجوم الكامل لمليون رمز.”
