Discussione Articolo Bug Bounter premiato da Microsoft con 50.000 dollari per una vulnerabilità 'account takeover'

Stato
Discussione chiusa ad ulteriori risposte.

0xbro

Super Moderatore
24 Febbraio 2017
4,464
179
3,755
1,825
Ultima modifica:

Bug Bounter premiato da Microsoft con 50.000 dollari per una vulnerabilità 'account takeover'​

Articolo tratto da SecurityAffairs


bug-bounty-windows-10-microsoft.jpg

Microsoft ha premiato il ricercatore di sicurezza Laxman Muthiyah con 50.000 dollari per aver segnalato una vulnerabilità che avrebbe potuto permettere a chiunque di fare account hijacking degli utenti senza necessitare di un loro consenso.

La vulnerabilità è legata alla possibilità di lanciare un attacco bruteforce con lo scopo di indovinare il codice di sicurezza a sette cifre che viene inviato via e-mail o SMS come metodo di verifica nella procedura di reset della password.

"Per resettare la password di un account Microsoft, dobbiamo inserire il nostro indirizzo e-mail o il numero di telefono nella pagina dedicata al recupero password, dopo di che ci verrà chiesto di selezionare l'e-mail o il numero di cellulare da utilizzare per ricevere il codice di sicurezza" ha scritto l'esperto.

"Una volta ricevuto il codice di sicurezza di 7 cifre, dovremo inserirlo per resettare la password. Se riusciamo a forzare tutte le combinazioni (che sono 10^7 = 10 milioni di codici), saremo in grado di reimpostare la password di qualsiasi utente senza il suo consenso".

Il ricercatore ha comunque sottolineato come fossero presenti meccanismi di protezione implementati per limitare il numero di tentativi e proteggere gli account.

L'analisi della richiesta HTTP POST inviata per validare il codice svela che il codice prima di venir inviato viene criptato. Ciò significa che per automatizzare il processo di bruteforce è necessario forzare prima l'encryption del dato.

microsoft-account-hijacking.png

"Se si guarda la richiesta inviata, il codice 1234567 usato in questo esempio non è presente. E' stato prima criptato e poi inviato per la convalida" ha continuato il ricercatore.
"Immagino che lo stiano facendo per evitare che strumenti automatici di bruteforce possano exploitare la falla. Non possiamo quindi automatizzare il processo tramite strumenti come Burp Intruder poichè non gestirebbero la parte di encryption".

Per determinare il numero massimo di tentativi effettuabili prima di venir bloccati, il ricercatore ha inviato 1000 differenti codici, verificando che effettivamente solo 122 sono stati correttamente elaborati, mentre i restanti hanno restituito uno specifico codice d'errore (1211 error code).
Inviando però simultaneamente più richieste, il ricercatore è riuscito a bypassare il controllo evitando di finire in blacklist.

In uno scenario reale tuttavia l'attacco tuttavia non è semplice: un attaccante deve riuscire a inviare tutte quante le possibili combinazioni di codice (circa 11 milioni) contemporaneamente per riuscire a cambiare la password di un qualsiasi account Microsoft. Tutto ciò richiederebbe un'quantità di risorse computazionali così come anche 1000 indirizzi IP circa per completare l'attacco con successo.

Muthiyah ha comunque segnalato subito la falla a Microsoft, che rapidamente ha riconosciuto il problema e lo ha risolto nel novembre 2020.

Il premio di 50.000 dollari è stato rilasciato il 9 febbraio tramite la piattaforma bug bounty HackerOne, un partner per la distribuzione di ricompense bug bounty. Microsoft in media offre tra 1.500 e 100.000 dollari per segnalazioni di bug valide.

“I received the bounty of $50,000 USD on Feb 9th, 2021 through hackerone and got approval to publish this article on March 1st. I would like to thank Dan, Jarek and the entire MSRC Team for patiently listening to all my comments, providing updates and patching the issue. I also like to thank Microsoft for the bounty.” ha concluso l'esperto.

 
Bravo l’haker buono.
C'è da dire che ormai i bug bounty stanno diventando una vera e proprio fonte redditizia per chi fa security. Le aziende che mettono a disposizione programmi di bug bounty sono sempre di più, spesso pagano anche bene, e per gli esperti del settore che si cimentano in questa attività è diventato quasi un vero e proprio lavoro!
 
  • Mi piace
Reazioni: Zeus4
Stato
Discussione chiusa ad ulteriori risposte.