Эксперт, указавший Microsoft на ошибку, получил 50 000 долларов и спас миллионы учётных записей
Исследователь заявил, что уязвимость проявляется в процессе подтверждения личности пользователя во время восстановления доступа к аккаунту. Microsoft работала над совершенствованием системы восстановления паролей ещё в конце 2020 года, но Муфии удалось обнаружить даже в обновлённой схеме весомый недостаток, взломав шифр, используемый в компании для защиты кода безопасности.
Чтобы потенциальные мошенники не могли перехватить сообщение с кодом, приходящее на устройство пользователя, Microsoft разработали специальную функцию, блокирующую возможность повторной нелегальной отправки кода. Однако Муфия наглядно доказывает, что отправка одновременных запросов по-прежнему возможна. Опыты аналитика наглядно показали, что из 1 000 кодов защищенными оказались только 122, остальные же были забанены.
Эксперт быстро понял, что система заносит IP-адреса, с которых были отправлены запросы, в чёрный список, так как даже миллисекундная задержка между поступлением сообщений позволяет системе распознать кибератаку и остановить её. Значит, чтобы захватить учётные записи, надо просто не дать системе времени для «размышления». Исследователь отправил на 11 миллионов запросов одновременно и понял, что таким образом можно получить возможность изменить пароль любой учётной записи, включая 2FA.
Проделав свои опыты, эксперт заключил, что мошеннику понадобится 5 000 IP-адресов для эффективного взлома системы. Неподготовленному человеку это количество кажется огромным, но на самом деле устроить атаку из миллиона кодов можно всего за 150 долларов, правда, с применением определённых знаний и ресурсов.