一位安全研究人員表示，微軟已向他發放50,000美元的懸賞獎勵，因為他提交了一個漏洞，該漏洞可能允許任何微軟賬戶被接管。

位于印度的相關安全研究人員透露，該漏洞可能被濫用來重置微軟在線服務上任何賬戶的密碼，但利用起來并不容易。

研究人員解釋說，該漏洞的攻擊目標是微軟已經實施的密碼恢復過程，該過程通常要求用戶輸入電子郵件或電話號碼以接收安全碼，然后輸入該密碼。通常情況下，用戶會收到一個7位數的安全碼。這意味著向用戶提供了1000萬個可能的密碼之一。想要獲得目標用戶賬戶的訪問權限，攻擊者需猜到正確的密碼，或窮舉盡可能多的密碼，直到輸入正確為止。

微軟擁有一系列防攻擊的安全機制，包括限制防止自動暴力破解的嘗試次數，以及將連續多次嘗試的IP地址列入黑名單等。但是，相關安全研究員人員發現的不僅是一種自動發送請求的技術，而且是已實現的事實，即如果請求同時到達服務器，系統將不再阻止請求（即使最短的延遲也會觸發防御機制）。

研究人員說：“我發送了大約1000個七位數密碼，其中包括正確的密碼，并能夠進行下一步更改密碼。”

研究人員說，該攻擊對未啟用雙重身份驗證（2FA）的賬戶有效，但即便使用相同類型的攻擊，也可以繞過第二步身份驗證。具體來說，首先會提示用戶提供其身份驗證應用程序生成的6位數字代碼，然后再通過電子郵件或電話接收7位數字代碼，以此兩相結合。攻擊者必須發送6和7位安全碼的所有可能性，這將是大約1100萬次請求嘗試，并且必須同時發送以更改任何微軟賬戶（包括啟用了2FA的密碼）的密碼。

該漏洞已于去年通過報告提交給了微軟，官方也于11月推出了一個補丁進行處理。作為其漏洞賞金計劃的一部分，微軟授予該研究人員50,000美元的賞金，評估該漏洞的嚴重性等級為“重要”，并將其視為“特權升級（特權升級是由于端點處的身份驗證繞過而產生的，該身份驗證被用于作為賬戶恢復過程的一部分。）”。

研究人員指出，漏洞沒有被評為嚴重性的唯一原因是攻擊的復雜性。要處理和發送大量并發請求，攻擊者將需要大量的計算能力，并且需要能夠欺騙成千上萬個IP地址。

參考鏈接：https://www.securityweek.com/Microsoft-pays-50000-bounty-account-takeover-vulnerability

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:securityweek

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明