Forwarded From Shadow Casher
https://telegra.ph/file/5a3973334218c24eaf50e.jpgДавняя уязвимость, позволяющая взламывать учетные записи Microsoft
Компания Microsoft выплатила независимому исследователю безопасности Лаксману Мутхияху (Laxman Muthiyah) $50 тыс. за обнаруженную уязвимость, позволявшую взламывать учетные записи пользователей без их ведома.
Уязвимость позволяла с помощью брутфорса подобрать семизначный код безопасности, отправляемый пользователю на электронную почту или на телефон для подтверждения его личности в процессе сброса пароля. Другими словами, захват контроля над учетной записью жертвы является результатом повышения привилегий путем обхода механизмов аутентификации на конечной точке, используемой для проверки кодов, отправляемых в процессе восстановления учетной записи.
Microsoft исправила проблему в ноябре прошлого года, но широкой общественности о ней стало известно только на этой неделе.
@ShadowCasher
https://telegra.ph/file/5a3973334218c24eaf50e.jpgДавняя уязвимость, позволяющая взламывать учетные записи Microsoft
Компания Microsoft выплатила независимому исследователю безопасности Лаксману Мутхияху (Laxman Muthiyah) $50 тыс. за обнаруженную уязвимость, позволявшую взламывать учетные записи пользователей без их ведома.
Уязвимость позволяла с помощью брутфорса подобрать семизначный код безопасности, отправляемый пользователю на электронную почту или на телефон для подтверждения его личности в процессе сброса пароля. Другими словами, захват контроля над учетной записью жертвы является результатом повышения привилегий путем обхода механизмов аутентификации на конечной точке, используемой для проверки кодов, отправляемых в процессе восстановления учетной записи.
Microsoft исправила проблему в ноябре прошлого года, но широкой общественности о ней стало известно только на этой неделе.
@ShadowCasher
