用户账户被劫持,微软披露价值50000美金的新漏洞

  • A+
所属分类:安全文章

用户账户被劫持,微软披露价值50000美金的新漏洞

微软近期在其漏洞赏金计划中向一名安全人员颁发了高达50000美元的奖金。如此“高贵”的漏洞不免让人感到好奇。


据了解,该漏洞可以让黑客在用户不知情的情况下劫持用户账户。也就是说,当你躺在床上舒舒服服睡个好觉的时候,黑客可能已经偷偷潜入了你的账户,并且通过账户掌握了你的个人信息,用它进行金融交易、创建新帐户、也可能向你的亲人好友们进行诈骗,甚至进行更严重的违法活动。


虽然会造成严重影响,但该漏洞的利用原理却并不复杂。发现它的安全人员指出,该漏洞可以在用户重置密码之前,强行猜测出向用户的电子邮箱或者手机号码发送的七位数密码,从而对用户账户进行访问。


然而对发送验证代码的HTTP POST请求进行分析后发现,密码在发送前是加密的,这意味着如果要强行破解密码,必须先破解加密。

用户账户被劫持,微软披露价值50000美金的新漏洞

截图显示,输入的1234567代码在请求中根本不存在。密码被加密之后才发送验证。这样做的目的是为了防止自动破解工具利用他们的系统。所以,像Burp Intruder这样的自动测试工具就无法使用,因为他们无法破解加密。

用户账户被劫持,微软披露价值50000美金的新漏洞

然而,虽然有旨在防止攻击者自动重复提交所有1000万个代码组合的加密障碍和限速检查,但该安全人员表示,他最终破解了该加密功能。


但是破解了加密功能,并不意味着攻击一定能成功。事实上,测试显示,在发送的1000个代码中,只有122个代码能够通过,其他代码以错误代码1211被阻止。


对此安全人员表示,如果所有发送的请求没有同时到达服务器,自带的机制就会将IP地址列入黑名单。并且,请求之间的几毫秒延迟就能让服务器检测到攻击并阻止它。


从攻击范围来看,虽然这种攻击只在账户没有被双因素认证保护的情况下有效,但它仍然可以扩展到击败两层保护并修改目标账户的密码。然而,在实际场景中,该攻击的操作难度并不简单,攻击者必须同时发送安全码,大约要进行1100万次请求尝试,才能更改任何微软账户(包括那些启用2FA的账户)的密码。这样一来,就需要大量的计算资源以及1000s的IP地址才能成功完成攻击。


因此,这种攻击的可行性并不高,普通的攻击者很难满足攻击条件。


在安全人员向微软报告了这个漏洞之后,微软很快承认了这个问题,并在2020年11月进行了处理。


原文地址:

https://thehackernews.com/2021/03/a-50000-bug-couldve-allowed-hackers.html

转自:FreeBuf.COM


本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。

用户账户被劫持,微软披露价值50000美金的新漏洞
安全帮®大讲堂经典回顾


大讲堂—浅析《信息安全保障》

大讲堂—速读《网络安全法》

大讲堂—分布式流处理平台:KAFKA

大讲堂—网络协议安全,这些你不可不知

大讲堂—当威胁检测技术跟上了AI的脚步

大讲堂—企业求生之道:如何有效进行安全风险管理

大讲堂—逆向分析技术知多少?

大讲堂—关于Spark的那些事

大讲堂—浅析Hadoop!

大讲堂—MyBatis简介与入门

大讲堂—LSTM算法原理及应用

用户账户被劫持,微软披露价值50000美金的新漏洞


关于安全帮®


安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系方式:微信公众号留言或联系客服QQ3025437891




用户账户被劫持,微软披露价值50000美金的新漏洞

本文始发于微信公众号(安全帮):用户账户被劫持,微软披露价值50000美金的新漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: