Новости Software

Microsoft выплатила эксперту $50 тысяч за обнаруженную уязвимость в веб-сервисах компании

Microsoft выплатила $50 тысяч независимому эксперту по информационной безопасности Лакшману Мутийя (Laxman Muthiyah) за обнаружение критической уязвимости в веб-сервисах компании. «Дыра» позволяла взламывать учётные записи пользователей без их ведома. Исследователь рассказал об этом на портале The Zero Hack.

Michel Euler, AP

Michel Euler, AP

Для сброса пароля учётной записи Microsoft компания требует предоставить электронную почту или номер мобильного телефона, чтобы выслать семизначный код безопасности. После его ввода пользователь может установить новый пароль для аккаунта.

Мутийя обнаружил способ взлома аккаунтов через брутфорс-атаки — путём перебора возможных вариантов вышеупомянутого кода безопасности. Сначала эксперт изучил систему обработки паролей, которая ограничивала количество одновременных запросов и блокировала лишние. Он выяснил, что при отправке 1000 вариантов сервис проверял лишь 122 из них. На остальные система реагировала сообщением об ошибке «Error 1211».

В результате исследователю удалось разработать алгоритм, позволяющий обойти ограничение на количество запросов. Как выяснилось, одновременная отправка кодов безопасности позволяет обработать их все без дальнейшей блокировки. В итоге ему удалось отгадать необходимый код для сброса пароля.

Лакшман сообщил об уязвимости в Microsoft, отправив в компанию соответствующий видеоролик. После этого разработчики внесли соответствующие исправления в систему и перечислили исследователю награду в размере $50 тысяч. Эксперт поблагодарил команду Microsoft Security Response Center за терпеливость и выплаченное вознаграждение. Более подробный отчёт можно найти на странице The Zero Hack.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥