Microsoft’ta Güvenlik Zafiyeti Tespit Edildi

Bağımsız siber güvenlik araştırmacısı Laxman Muthiyah, Microsoft’a ait herhangi bir hesabın ele geçirilmesine sebep olabilecek bir zafiyetin tespitini yaparak bildirdi. Güvenlik açığını bildirdiği için kendisine Microsoft tarafından 50 bin dolarlık bounty ödülü verildi.


Hindistan merkezli bağımsız siber güvenlik araştırmacısı Laxman Muthiyah, bahsi geçen açığın Microsoft’un çevrim içi hizmetlerindeki herhangi bir hesabın şifresini sıfırlamak için istismar edilmiş olabileceğini ifade etti.

Araştırmacının açıkladığı saldırının hedefinde, Microsoft’un kullanıcının e-posta veya telefon numarasını girmek suretiyle bir güvenlik kodu alıp sonrasında bu kodu girmesini öngören  “parola kurtarma” işlemi yer alıyordu.

Parola kurtarma için genellikle 7 basamaklı bir güvenlik kodu alınmakta, bu da kullanıcıya 10 milyon olası koddan birinin verildiği anlamına geliyor. Hedefteki kullanıcının hesabına erişmek isteyen bir saldırganın, kodu doğru bir şekilde tahmin etmesi veya doğru kodu girene kadar mümkün olduğunca çok sayıda bu kodu deneyebilmesi gerekiyor.

Microsoft, saldırıları önleme noktasında  otomatik “brute forcing”i (kaba kuvvet saldırısı) önlemek için yapılan girişim sayısını sınırlamak ve peş peşe girişim yapıldığında söz konusu IP adresini kara listeye almak da dahil olmak üzere bir dizi mekanizmaya sahip.

Apple’a Ait Bir Güvenlik Açığı Daha Tespit Edildi

Sunuya Gönderilen Art Arda Birden Fazla İstek Sistemi Yanıtsız Bırakıyor


 

Öte yandan Muthiyah’ın keşfettiği şey, yalnızca isteklerin gönderilmesini otomatik hale getirmeye yönelik bir teknik değil, aynı zamanda isteklerin sunucuya aynı anda ulaşması halinde sistemin bunları engellemeyeceği gerçeğiydi (zira en ufak bir gecikme bile savunma mekanizmasını tetikleyecekti).

Araştırmacı, “Doğru olan da dahil olmak üzere yedi haneli yaklaşık 1000 kod gönderdim ve parolayı değiştirmek için bir sonraki adımı atabildim.” diyor.

Geekprank Hacker Ekranı - 𝗘𝗻 𝗶𝘆𝗶 𝗛𝗮𝗰𝗸𝗲𝗿 𝗦𝗶𝗺ü𝗹𝗮𝘁ö𝗿ü

Saldırı İki Faktörlü Kimlik Doğrulaması Olmayan Hesaplarda Gerçekleşiyor 


Muthiyah, saldırının iki faktörlü kimlik doğrulaması (2FA) etkin olmayan hesaplar için geçerli olduğunu ancak ikinci kimlik doğrulama adımının bile aynı saldırı türünü kullanarak atlanabileceğini ifade etti. Özellikle, kullanıcıdan önce authenticator uygulaması tarafından oluşturulan 6 haneli bir kod ve daha sonra e-posta veya telefon yoluyla alınan 7 haneli bir kod oluşturması isteniyor.

Araştırmacıya göre tüm bunlar bir araya getirilince bir saldırganın 6 ve 7 haneli güvenlik kodlarının tüm olasılıklarını  göndermesi gerekiyor, bu da yaklaşık 11 milyon istek girişimine tekabül ediyor ve herhangi bir Microsoft hesabının parolasını değiştirmek için bunların  aynı anda gönderilmesi gerekiyor (iki faktörlü kimlik doğrulaması etkin olanlar dahil)

Kritik Öneme Sahip Zafiyet Sınıfında Yer Aldı


Güvenlik açığı, geçtiğimiz yıl Microsoft’a bildirildi ve Kasım ayında bir yama kullanıma sunuldu.  Microsoft, zafiyetin önem derecesini ‘önemli’ olarak değerlendirmek suretiyle Kimlik Ödül Programı (Identity Bounty Program) kapsamında araştırmacıyı 50 bin dolar ile ödüllendirdi.

Araştırmacı, zafiyetin kritik önem taşımasının tek nedeninin, saldırının karmaşıklığı olduğunu bildirdi. Zira çok sayıda eş zamanlı isteği işlemek ve göndermek için, saldırganın binlerce IP adresini taklit etme yeteneğinin yanı sıra iyi bir işlem gücüne sahip olması gerekiyor.

 

Yazımızı Nasıl Buldunuz?

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*