Sektörel

Microsoft kritik zafiyeti bulana 50 bin dolar ödül verdi: Güvenlik açığı hesap ele geçirmeye izin veriyor 

Bir güvenlik araştırmacısı, Microsoft’a herhangi bir hesabın ele geçirilmesine yol açabilecek bir güvenlik açığını bildirdiği için kendisine 50 bin dolarlık bounty ödül verdiğini duyurdu.

Hindistan merkezli bağımsız güvenlik araştırmacısı Laxman Muthiyah, bahsi geçen açığın Microsoft’un çevrim içi hizmetlerindeki herhangi bir hesabın şifresini sıfırlamak için istismar edilmiş olabileceğini ifade etti.

Araştırmacının açıkladığı saldırının hedefinde, Microsoft’un kullanıcının e-posta veya telefon numarasını girmek suretiyle bir güvenlik kodu alıp sonrasında bu kodu girmesini öngören  “parola kurtarma” işlemi yer alıyordu. 

Parola kurtarma için genellikle 7 basamaklı bir güvenlik kodu alınmakta, bu da kullanıcıya 10 milyon olası koddan birinin verildiği anlamına geliyor. Hedefteki kullanıcının hesabına erişmek isteyen bir saldırganın, kodu doğru bir şekilde tahmin etmesi veya doğru kodu girene kadar mümkün olduğunca çok sayıda bu kodu deneyebilmesi gerekiyor.

Microsoft, saldırıları önleme noktasında  otomatik “brute forcing”i (kaba kuvvet saldırısı) önlemek için yapılan girişim sayısını sınırlamak ve peş peşe girişim yapıldığında söz konusu IP adresini kara listeye almak da dahil olmak üzere bir dizi mekanizmaya sahip.

PAROLA DEĞİŞİKLİK İSTEKLERİ AYNI ANDA GÖNDERİLİRSE SİSTEM ÇARESİZ KALIYOR

Öte yandan Muthiyah’ın keşfettiği şey, yalnızca isteklerin gönderilmesini otomatik hale getirmeye yönelik bir teknik değil, aynı zamanda isteklerin sunucuya aynı anda ulaşması halinde sistemin bunları engellemeyeceği gerçeğiydi (zira en ufak bir gecikme bile savunma mekanizmasını tetikleyecekti).

Araştırmacı, “Doğru olan da dahil olmak üzere yedi haneli yaklaşık 1000 kod gönderdim ve parolayı değiştirmek için bir sonraki adımı atabildim.” diyor.

Intel, güvenlik açıklarının yarısını Bug Bounty programıyla tespit etti

SALDIRI İKİ FAKTÖRLÜ KİMLİK DOĞRULAMASI ETKİN OLMAYAN HESAPLAR İÇİN GEÇERLİ

Muthiyah, saldırının iki faktörlü kimlik doğrulaması (2FA) etkin olmayan hesaplar için geçerli olduğunu ancak ikinci kimlik doğrulama adımının bile aynı saldırı türünü kullanarak atlanabileceğini ifade etti. Özellikle, kullanıcıdan önce authenticator uygulaması tarafından oluşturulan 6 haneli bir kod ve daha sonra e-posta veya telefon yoluyla alınan 7 haneli bir kod oluşturması isteniyor.

Araştırmacıya göre tüm bunlar bir araya getirilince bir saldırganın 6 ve 7 haneli güvenlik kodlarının tüm olasılıklarını  göndermesi gerekiyor, bu da yaklaşık 11 milyon istek girişimine tekabül ediyor ve herhangi bir Microsoft hesabının parolasını değiştirmek için bunların  aynı anda gönderilmesi gerekiyor (iki faktörlü kimlik doğrulaması etkin olanlar dahil)

ZAFİYETİN DERECESİ: “ÖNEMLİ”

Güvenlik açığı, geçtiğimiz yıl Microsoft’a bildirildi ve Kasım ayında bir yama kullanıma sunuldu.  Microsoft, zafiyetin önem derecesini ‘önemli’ olarak değerlendirmek suretiyle Kimlik Ödül Programı (Identity Bounty Program) kapsamında araştırmacıyı 50 bin dolar ile ödüllendirdi. 

Araştırmacı, zafiyetin kritik önem taşımasının tek nedeninin, saldırının karmaşıklığı olduğunu bildirdi. Zira çok sayıda eş zamanlı isteği işlemek ve göndermek için, saldırganın binlerce IP adresini taklit etme yeteneğinin yanı sıra iyi bir işlem gücüne sahip olması gerekiyor.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

 

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu