Se producía al intentar restablecer la contraseña para recuperar el acceso a la cuenta
Microsoft ha pagado 50.000 dólares a un investigador de seguridad independiente como parte de su programa de recompensas por errores por informar de una falla que podría haber permitido a un actor malintencionado secuestrar las cuentas de los usuarios sin su conocimiento.
Informada por Laxman Muthiyah, la vulnerabilidad tiene como objetivo aplicar la fuerza bruta al código de seguridad de siete dígitos que se envía a la dirección de correo electrónico o al número de teléfono móvil de un usuario para corroborar su identidad antes de restablecer la contraseña para recuperar el acceso a la cuenta.
Dicho de otra manera, el escenario de toma de control de la cuenta es una consecuencia de la escalada de privilegios que se deriva de una omisión de autenticación en un punto final que se utiliza para verificar los códigos enviados como parte del proceso de recuperación de la cuenta.
La compañía abordó el problema en noviembre de 2020, antes de que el martes salieran a la luz los detalles de la falla.
Aunque existen barreras de cifrado y controles de limitación de velocidad diseñados para evitar que un atacante envíe repetidamente los 10 millones de combinaciones de los códigos de forma automatizada, Muthiyah dijo que finalmente descifró la función de cifrado utilizada para ocultar el código de seguridad y enviar múltiples solicitudes simultáneas.
De hecho, las pruebas de Muthiyah mostraron que de los 1.000 códigos que se enviaron, solo 122 pasaron, y los demás se bloquearon con el código de error 1211.
"Me di cuenta de que están poniendo la dirección IP en la lista negra [incluso] si todas las solicitudes que enviamos no llegan al servidor al mismo tiempo", dijo el investigador en un artículo, y agregó que "un retraso de unos pocos milisegundos entre las solicitudes permitió al servidor detectar el ataque y bloquearlo".
Después de este descubrimiento, Muthiyah dijo que pudo sortear la restricción de limitación de velocidad y llegar al siguiente paso de cambiar la contraseña, lo que le permitió secuestrar la cuenta.
Si bien este ataque solo funciona en los casos en que la cuenta no está protegida por autenticación de dos factores, todavía se puede ampliar para anular las dos capas de protección y modificar la contraseña de una cuenta de destino, algo que podría ser prohibitivo dada la cantidad de recursos informáticos necesarios para montar un ataque de este tipo.
"Poniendo todo junto, un atacante tiene que enviar todas las posibilidades de códigos de seguridad de 6 y 7 dígitos que serían alrededor de 11 millones de intentos de solicitud y tiene que enviarse simultáneamente para cambiar la contraseña de cualquier cuenta de Microsoft (incluidas aquellas con 2FA habilitado)", dijo Muthiyah.
Por separado, Muthiyah también empleó una técnica similar al flujo de recuperación de la cuenta de Instagram al enviar 200.000 solicitudes simultáneas desde 1.000 máquinas diferentes, y descubrió que era posible lograr la toma de control de la cuenta. Fue recompensado con $ 30.000 como parte del programa de recompensas por errores de la compañía.
"En un escenario de ataque real, el atacante necesita 5.000 direcciones IP para piratear una cuenta", señaló Muthiyah. "Suena grande, pero en realidad es fácil si utilizas un proveedor de servicios en la nube como Amazon o Google. Costaría alrededor de 150 dólares realizar el ataque completo de un millón de códigos".
