Actualités

Compte Microsoft : quand la procédure de réinitialisation de mot de passe recelait une vulnérabilité !

Laxman Muthiyah vient de mettre en lumière une vulnérabilité assez critique : comme tout service d’identification, Microsoft account (ou compte Microsoft) permet à chacun(e) de pouvoir, au besoin, réinitialiser son mot de passe. Un code de sécurité est généralement envoyé à l’adresse mail de secours : le chercheur sécuritaire a tenté d’intercepter certaines requêtes ou combinaisons pour, en finalité, faire passer sauvagement certaines afin de déverrouiller, à distance, le compte ciblé…

 

 

Une fois que nous aurons reçu le code de sécurité à 7 chiffres, nous devrons le saisir pour réinitialiser le mot de passe. Ici, si nous pouvons brutaliser toutes les combinaisons de codes à 7 chiffres (ce sera 10 ^ 7 = 10 millions de codes), nous pourrons réinitialiser le mot de passe de n’importe quel utilisateur sans autorisation. Mais, évidemment, il y aura des limites de taux qui nous empêcheront de faire un grand nombre de tentatives […] Sur 1000 codes envoyés, seulement 122 d’entre eux sont passés, d’autres sont limités avec un code d’erreur 1211 et ils bloquent le compte d’utilisateur respectif d’envoyer d’autres tentatives si nous envoyons continuellement des demandes […] Ensuite, j’ai essayé d’envoyer des demandes simultanées […] je me suis rendu compte qu’ils mettaient l’adresse IP sur une liste noire si toutes les requêtes que nous envoyons n’atteignaient pas le serveur en même temps, même un délai de quelques millisecondes entre les requêtes permettait au serveur de détecter l’attaque et de la bloquer […] J’ai envoyé environ 1000 codes à sept chiffres, y compris le bon, et j’ai pu passer à l’étape suivante pour changer le mot de passe. Le processus ci-dessus n’est valide que pour ceux qui n’ont pas activé l’authentification à deux facteurs“, indique le billet dédié, le 2 Mars 2021.

 

Bien évidemment, la double-authentification n’a pas arrêté le chercheur : une application est nécessaire pour entrer le code à 6 chiffres envoyer pour confirmer que l’utilisateur est légitimement autorisé à se connecter au compte Microsoft. Une fois celui-ci validé, un autre code (7 chiffres) sera envoyé par mail ou directement sur le smartphone préalablement renseigné dans le compte pour parachever l’étape de réinitialisation de mot de passe, ici. Rien que pour les deux probabilités chiffrées, cela représente “environ 11 M de tentatives“, souligne Laxman Muthiyah qui, sans plus de détails par contre (une vidéo a été envoyé à Microsoft…) évoque que la cyber-frappe doit être simultanée pour que cela réussisse. Avec ou sans double-authentification, dans tout les cas, le contournement insécuritaire n’est pas à la portée du premier venu ; les barrages de Microsoft ayant remplit leur fonction.

Découverte en Novembre 2020, cette vulnérabilité a, depuis, été corrigée : qualifiée d’importante (et non de critique…), cette faille a permis au chercheur d’empocher 50 000 dollars USD, le 9 Février 2021… A veiller !

 

 

Source : The Zéro Hack – 2 Mars 2021 – Microsoft compte (mail) : la procédure de réinitialisation de mot de passe contenait une faille permettant un contrôle à distance du compte.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0