Un cazador de errores reveló un fallo de seguridad que podría haber permitido el secuestro de cuentas de Microsoft. Una infracción importante, que le permitió embolsar una recompensa de 50.000 dólares.
En una entrada de blog publicada el martes, el investigador Laxman Muthiyah explicó que el fallo de seguridad podría haber «permitido a cualquiera tomar el control de cualquier cuenta de Microsoft sin autorización». Sin embargo, como se dijo en un debate sobre la investigación, ésta sólo afectaba a las cuentas de los consumidores.
Laxman Muthiyah había encontrado por primera vez un error de limitación de débito en Instragram. A continuación, aplicó las mismas pruebas de protección a las cuentas de Microsoft.
Para restablecer la contraseña de una cuenta de Microsoft, debe enviar su dirección de correo electrónico o su número de teléfono a través de la página «Contraseña olvidada». A continuación, se envía un código de seguridad de siete dígitos como método de verificación, que debe proporcionarse para crear una nueva contraseña. El uso de un ataque de fuerza bruta para obtener el código de siete dígitos podría permitir el restablecimiento de la contraseña sin el permiso del propietario de la cuenta. Sin embargo, para evitarlo, existen limitaciones de tráfico, encriptación y controles.
Tras revisar las defensas de Microsoft, Laxman Muthiyah pudo «secuestrar» el cifrado de la compañía y «automatizar todo el proceso, desde el cifrado del código hasta el envío de múltiples peticiones simultáneas». En una de las pruebas se enviaron 1.000 códigos. Pero sólo se procesaron 122, y el resto dio lugar a un error o se bloqueó.
Pero, al enviar solicitudes simultáneas, el investigador pudo eludir tanto el cifrado como el mecanismo de bloqueo. Esta técnica funciona siempre que no haya retrasos, porque incluso unos «milisegundos» habrían sido suficientes para detectar y poner en la lista negra las peticiones, según el investigador. Laxman Muthiyah pudo desarrollar su ataque utilizando el procesamiento paralelo, que enviaba todas las peticiones al mismo tiempo sin ningún retraso. Así pudo obtener el código correcto.
Sin embargo, en el mundo real, este vector de ataque no es sencillo. Sortear un código de siete dígitos requeriría mucha potencia de cálculo, y si se añade la necesidad de romper también un código 2FA que lo acompañe -cuando esté activado en la cuenta de Microsoft objetivo-, podrían ser necesarias millones de solicitudes en total.
Laxman Muthiyah informó de sus hallazgos y envió a Microsoft un vídeo de prueba de concepto (Proof-of-Concept, PoC). El investigador afirma que el gigante tecnológico «reconoció rápidamente el problema» y lanzó una corrección en noviembre de 2020. La vulnerabilidad fue clasificada como «significativa» por Microsoft, debido a la complejidad de la manipulación para explotarla, y fue clasificada como «escalada de privilegios (incluyendo la evasión de la autenticación multifactor)», según la captura de pantalla del correo electrónico compartida por el investigador.
La bonificación de 50.000 dólares se concedió el 9 de febrero al investigador a través de la plataforma HackerOne, que gestiona la distribución de las recompensas de los programas de recompensas por fallos. Microsoft ofrece entre 1.500 y 100.000 dólares por informar de una violación de seguridad válida. «Me gustaría dar las gracias a Dan, Jarek y a todo el equipo del CRCS por haber escuchado pacientemente todos mis comentarios, proporcionar actualizaciones y corregir el problema», comentó el investigador. El Centro de Respuesta de Seguridad de Microsoft (MSRC) agradeció al investigador sus hallazgos.
Sobre el mismo tema, Microsoft ha publicado urgentemente cuatro parches para vulnerabilidades de día cero que explotan el servidor Exchange.
