Уразливість дозволяла за допомогою брутфорса підібрати семизначний код безпеки, що відправляється користувачеві на електронну пошту або на телефон для підтвердження його особистості в процесі скидання пароля.
Іншими словами, захоплення контролю над обліковим записом жертви є результатом підвищення привілеїв шляхом обходу механізмів аутентифікації на кінцевій точці, використовуваної для перевірки кодів, що відправляються в процесі відновлення облікового запису.
Microsoft виплатила незалежного досліднику безпеки Laxman Muthiyah $ 50 тис. за виявлену уразливість, яка дозволяла зламувати облікові записи користувачів без їхнього відома.
Microsoft виправила проблему в листопаді минулого року, але широкому загалу про неї стало відомо тільки на цьому тижні.
Хоча існують бар’єри шифрування і перевірки з обмеженням швидкості, призначені для запобігання повторного відправлення зловмисником всіх 10 млн комбінацій кодів в автоматичному режимі, в кінцевому підсумку досліднику вдалося зламати функцію шифрування, яка використовується для маскування коду безпеки і відправити безліч одночасних запитів.
Як показав тест, з 1 тис. відправлених дослідником кодів пройшли тільки 122, а інші були заблоковані з повідомленням про помилку 1211. Дослідник зрозумів, що його IP-адреса потрапила в чорний список, хоча відправлені їм запити не досягнули сервера одночасно. Кілька мілісекунд затримки між запитами дозволили серверу виявити і заблокувати атаку.
Після цього відкриття дослідник зміг обійти обмеження швидкості і перейти до наступного етапу зміни пароля, що дозволило йому захопити обліковий запис.
Хоча атака працює тільки у випадках, коли обліковий запис не захищений двофакторною аутентифікацією, її можна розширити, щоб подолати два рівня захисту і в підсумку змінити пароль жертви. Однак на практиці така атака не практикується, оскільки вимагає великих обчислювальних ресурсів.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Signal чи Telegram: який додаток кращий для чату?
Топ-7 альтернативних месенджерів на заміну WhatsApp
Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ
Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19
Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ
Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.
Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple Mac. Він отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.
Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.
Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.
До речі, нещодавно виявлена фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.
