Ein 50.000-Dollar-Bug hätte Hackern den Zugriff auf jedes Microsoft-Konto ermöglichen können

Cyber Security News

Microsoft hat einen unabhängigen Sicherheitsforscher im Rahmen seines Bug-Bounty-Programms mit 50.000 Dollar belohnt, weil er einen Fehler gemeldet hat, der es einem böswilligen Akteur ermöglicht hätte, die Konten von Benutzern ohne deren Wissen zu kapern.

Die von Laxman Muthiyah gemeldete Schwachstelle zielt darauf ab, den siebenstelligen Sicherheitscode zu knacken, der an die E-Mail-Adresse oder Handynummer eines Benutzers gesendet wird, um seine (oder ihre) Identität zu bestätigen, bevor das Passwort zurückgesetzt wird, um den Zugriff auf das Konto wiederherzustellen.

Anders ausgedrückt: Das Szenario der Kontoübernahme ist eine Folge der Privilegieneskalation, die sich aus einer Umgehung der Authentifizierung an einem Endpunkt ergibt, der zur Verifizierung der Codes verwendet wird, die als Teil des Kontowiederherstellungsprozesses gesendet werden.

Das Unternehmen adressierte das Problem im November 2020, bevor Details des Fehlers am Dienstag ans Licht kamen.

Obwohl es Verschlüsselungsbarrieren und ratenbegrenzende Prüfungen gibt, die verhindern sollen, dass ein Angreifer wiederholt alle 10 Millionen Kombinationen der Codes auf automatisierte Weise übermittelt, sagte Muthiyah, dass er schließlich die Verschlüsselungsfunktion geknackt hat, die verwendet wird, um den Sicherheitscode zu tarnen und mehrere gleichzeitige Anfragen zu senden.

[Blocked Image: https://thehackernews.com/images/-36hTuQF7zj4/YD9VcItJL5I/AAAAAAAAB7g/bts4KUwbz-cLL5F__QdOzG8sHx9L_3p5QCLcBGAsYHQ/s0/microsoft-account-hacking.jpg]

Tatsächlich zeigten Muthiyahs Tests, dass von 1000 gesendeten Codes nur 122 durchkamen, wobei die anderen mit dem Fehlercode 1211 blockiert wurden.

“Ich habe erkannt, dass sie die IP-Adresse auf eine schwarze Liste setzen. [even] wenn alle Anfragen, die wir senden, den Server nicht zur gleichen Zeit erreichen”, schrieb der Forscher und fügte hinzu, dass “eine Verzögerung von einigen Millisekunden zwischen den Anfragen dem Server erlaubte, den Angriff zu erkennen und zu blockieren.”

Nach dieser Entdeckung sagte Muthiyah, dass er in der Lage war, die Ratenbeschränkung zu umgehen und den nächsten Schritt zu erreichen, nämlich das Passwort zu ändern, was ihm erlaubte, das Konto zu kapern.

Dieser Angriff funktioniert zwar nur in Fällen, in denen das Konto nicht durch eine Zwei-Faktor-Authentifizierung gesichert ist, er kann jedoch erweitert werden, um die beiden Schutzschichten zu überwinden und das Passwort eines Zielkontos zu ändern – was angesichts der Menge an Rechenressourcen, die für einen Angriff dieser Art erforderlich sind, unerschwinglich sein könnte.

[Blocked Image: https://thehackernews.com/images/-aJ1PRfMvnyQ/YD9WaIKqNOI/AAAAAAAAB7o/DeU3J_p1xBkUjJt89JuZgHK6dLn7Hch2gCLcBGAsYHQ/s0/hacking-news.jpg]

“Wenn man alles zusammennimmt, muss ein Angreifer alle Möglichkeiten von 6- und 7-stelligen Sicherheitscodes senden, was etwa 11 Millionen Anfrageversuchen entsprechen würde, und das gleichzeitig, um das Passwort eines beliebigen Microsoft-Kontos zu ändern (einschließlich solcher mit aktivierter 2FA)”, so Muthiyah.

Unabhängig davon hat Muthiyah auch eine ähnliche Technik zur Wiederherstellung des Instagram-Kontos angewandt, indem er 200.000 gleichzeitige Anfragen von 1.000 verschiedenen Rechnern sendete und feststellte, dass es möglich war, die Übernahme des Kontos zu erreichen. Er wurde im Rahmen des Bug Bounty-Programms des Unternehmens mit 30.000 Dollar belohnt.

“In einem realen Angriffsszenario braucht der Angreifer 5000 IP-Adressen, um einen Account zu hacken”, so Muthiyah. “Das hört sich groß an, aber das ist eigentlich einfach, wenn man einen Cloud-Dienstleister wie Amazon oder Google nutzt. Es würde etwa 150 Dollar kosten, den kompletten Angriff mit einer Million Codes durchzuführen.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com