用户账户被劫持,微软披露价值5万美元的新漏洞如此“高贵”的漏洞不禁让人好奇。据了解,该漏洞可以让黑客在用户不知情的情况下劫持用户账户。换句话说,当你躺在床上舒舒服服地睡觉时,黑客可能已经潜入你的账户并通过账户掌握了你的个人信息,利用它进行金融交易、创建新账户,并有可能诈骗你的亲人和朋友,甚至从事更严重的违法活动。虽然会造成严重影响,但利用该漏洞的原理并不复杂。发现该漏洞的安全人员指出,该漏洞可用于在用户重置密码前,通过强行猜测发送至用户邮箱或手机号码的七位密码来访问用户账号。但是分析发送验证码的HTTPPOST请求,发现密码在发送前是经过加密的,也就是说,要想暴力破解密码,首先要破解加密。截图显示输入的1234567代码在请求中根本不存在。密码加密后发送认证。这样做的目的是防止自动破解工具利用他们的系统。因此,不能使用像BurpIntruder这样的自动化测试工具,因为它们无法破解加密。然而,尽管加密障碍和速率限制检查旨在防止攻击者自动重新提交所有1000万个代码组合,但安全官表示他最终还是破解了加密。但是,破解了加密功能并不代表攻击就一定会成功。事实上,测试显示在发送的1000个代码中,只有122个能够通过,其他的被阻止,错误代码为1211。对此,安全人员表示,如果发送的请求没有同时到达服务器届时,内置机制会将IP地址列入黑名单。而且,请求之间的几毫秒延迟允许服务器检测到攻击并阻止它。从攻击范围来看,虽然这种攻击只有在账户没有受到双重身份验证保护的情况下才有效,但它仍然可以扩展到突破两层保护,修改目标账户的密码。但是,在实际场景中,这种攻击的操作难度并不简单。攻击者必须同时发送安全代码,并且需要大约1100万次请求尝试才能更改任何Microsoft帐户(包括启用2FA的帐户)的密码。这样,需要大量的计算资源和数千个IP地址才能成功完成攻击。因此,本次攻击的可行性不高,普通攻击者很难满足攻击条件。在安全人员向微软报告该漏洞后,微软迅速承认了该问题并于2020年11月进行了处理。资料来源:thehackernews
