用户账户被劫持,微软披露价值50000美金的新漏洞

安全
微软近期在其漏洞赏金计划中向一名安全人员颁发了高达50000美元的奖金。如此“高贵”的漏洞不免让人感到好奇。

微软近期在其漏洞赏金计划中向一名安全人员颁发了高达50000美元的奖金。如此“高贵”的漏洞不免让人感到好奇。

据了解,该漏洞可以让黑客在用户不知情的情况下劫持用户账户。也就是说,当你躺在床上舒舒服服睡个好觉的时候,黑客可能已经偷偷潜入了你的账户,并且通过账户掌握了你的个人信息,用它进行金融交易、创建新帐户、也可能向你的亲人好友们进行诈骗,甚至进行更严重的违法活动。

[[385261]]

虽然会造成严重影响,但该漏洞的利用原理却并不复杂。发现它的安全人员指出,该漏洞可以在用户重置密码之前,强行猜测出向用户的电子邮箱或者手机号码发送的七位数密码,从而对用户账户进行访问。

然而对发送验证代码的HTTP POST请求进行分析后发现,密码在发送前是加密的,这意味着如果要强行破解密码,必须先破解加密。

截图显示,输入的1234567代码在请求中根本不存在。密码被加密之后才发送验证。这样做的目的是为了防止自动破解工具利用他们的系统。所以,像Burp Intruder这样的自动测试工具就无法使用,因为他们无法破解加密。

然而,虽然有旨在防止攻击者自动重复提交所有1000万个代码组合的加密障碍和限速检查,但该安全人员表示,他最终破解了该加密功能。

但是破解了加密功能,并不意味着攻击一定能成功。事实上,测试显示,在发送的1000个代码中,只有122个代码能够通过,其他代码以错误代码1211被阻止。

对此安全人员表示,如果所有发送的请求没有同时到达服务器,自带的机制就会将IP地址列入黑名单。并且,请求之间的几毫秒延迟就能让服务器检测到攻击并阻止它。

从攻击范围来看,虽然这种攻击只在账户没有被双因素认证保护的情况下有效,但它仍然可以扩展到击败两层保护并修改目标账户的密码。然而,在实际场景中,该攻击的操作难度并不简单,攻击者必须同时发送安全码,大约要进行1100万次请求尝试,才能更改任何微软账户(包括那些启用2FA的账户)的密码。这样一来,就需要大量的计算资源以及1000s的IP地址才能成功完成攻击。

因此,这种攻击的可行性并不高,普通的攻击者很难满足攻击条件。

在安全人员向微软报告了这个漏洞之后,微软很快承认了这个问题,并在2020年11月进行了处理。

来源:thehackernews

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-08-26 18:24:50

2022-08-02 15:05:58

安全帐户劫持数据

2014-05-29 11:16:49

2021-10-19 15:52:58

Tor站点劫持REvil

2015-07-16 10:49:56

2021-03-03 07:20:57

Linux

2014-08-06 11:24:24

Elasticsear劫持挂马

2014-09-09 16:44:16

2012-06-14 09:16:58

2019-02-28 07:58:57

路由器攻击病毒

2009-05-14 09:36:19

2022-05-31 13:15:11

WhatsApp劫持用户攻击

2021-02-09 00:51:30

恶意软件黑客网络攻击

2015-08-17 11:02:48

物联网

2020-07-24 10:35:50

量子芯片互联网

2024-02-29 16:27:09

2015-05-13 11:14:53

2023-06-26 15:20:47

2020-06-02 14:28:46

漏洞黑客网络攻击

2014-09-22 10:38:26

点赞
收藏

51CTO技术栈公众号