一个价值5万美元的漏洞可以让黑客访问任何微软账户

微软向一名独立安全研究人员颁发了5万美元的奖金，作为其漏洞赏金计划的一部分，因为该研究人员报告了一个漏洞，该漏洞可能导致恶意参与者在用户不知情的情况下劫持用户的账户。

据Laxman Muthiyah报道，该漏洞旨在暴力破解发送到用户电子邮件地址或手机号码的七位数安全码，以在重置密码之前确认其身份，从而恢复对该帐户的访问。

换言之，帐户接管场景是由于端点处的身份验证旁路导致的权限提升的结果，该旁路用于验证作为帐户恢复过程的一部分发送的代码。

该公司在2020年11月解决了这一问题，之后该漏洞的细节在周二曝光。

虽然存在加密屏障和速率限制检查，旨在防止攻击者以自动方式重复提交所有1000万个代码组合，但穆蒂亚说，他最终破解了用于隐藏安全代码和发送多个并发请求的加密功能。

事实上，Muthiyah的测试表明，在发送的1000个代码中，只有122个通过，其他代码被错误代码1211阻止。

“我意识到，即使我们发送的所有请求没有同时到达服务器，他们也在将IP地址列入黑名单，”研究人员在一篇评论文章中说，并补充说，“请求之间的几毫秒延迟允许服务器检测到攻击并阻止它。”

Muthiyah说，在这一发现之后，他能够绕过限速限制，进入下一步更改密码，从而允许他劫持该账户。

虽然这种攻击只在帐户没有双因素身份验证的情况下有效，但它仍然可以扩展，以破坏两层保护，并修改目标帐户的密码—；考虑到发动此类攻击所需的计算资源量，这可能是禁止的。

Muthiyah说：“总的来说，攻击者必须发送所有可能的6位和7位安全代码，这将是大约1100万次请求尝试，并且必须同时发送，以更改任何Microsoft帐户（包括启用2FA的帐户）的密码。”。

另外，Muthiyah还采用了与Instagram账户恢复流程类似的技术，从1000台不同的机器上发送了200000个并发请求，发现有可能实现账户接管。作为公司臭虫奖励计划的一部分，他获得了3万美元的奖励。

Muthiyah指出：“在真实的攻击场景中，攻击者需要5000个IP地址才能攻击一个帐户。”。“这听起来很大，但如果你使用亚马逊或谷歌等云服务提供商，这其实很容易。完成100万个代码的完整攻击需要150美元左右。”