يمكن أن يكون خلل أمني "ثغرة لأي شخص بالإستيلاء على أي حساب مايكروسوفت دون موافقة أو إذن".
ومع ذلك ، كما لوحظ في المناقشة المتعلقة بالتقرير ، قد ينطبق هذا فقط على حسابات المستهلكين.
وجد Muthiyah سابقاً خطأ يحد من معدل Instagram قد يؤدي إلى الإستيلاء على الحساب وتطبيق نفس الإختبارات على حماية حساب Microsoft.
لإعادة تعيين كلمة مرور لحساب Microsoft ، تطلب الشركة عنوان بريد إلكتروني أو رقم هاتف لإرساله من خلال صفحة "نسيت كلمة المرور". ثم يتم إرسال رمز أمان مكون من سبعة أرقام كوسيلة للتحقق ويجب توفيره لإنشاء كلمة مرور جديدة.
قد يؤدي إستخدام هجوم القوة الغاشمة للحصول على الرمز المكون من سبعة أرقام إلى إعادة تعيين كلمة المرور دون إذن مالك الحساب. ومع ذلك ، لوقف هذه الهجمات في مساراتها ، يتم فرض حدود المعدل والتشفير والشيكات.
بعد فحص دفاعات مايكروسوفت ، تمكن Muthiyah من العمل على تشفير الشركة و "أتمتة العملية برمتها من تشفير الكود إلى إرسال طلبات متعددة متزامنة".
تضمنت إحدى التجارب إرسال 1000 محاولة رمز ولكن تمت معالجة 122 فقط - بينما أدت التجارب الأخرى إلى حدوث خطأ وتم حظر المزيد من الطلبات من حساب الإختبار.
ومع ذلك ، من خلال إرسال الطلبات المتزامنة ، تمكن صائد المكافآت من التحايل على كل من التشفير وآلية الحظر - طالما لم يكن هناك تأخير في الطلبات ، حتى أن بضع "ميلي ثانية" كانت كافية لإكتشاف الطلبات وإدراجها في القائمة السوداء ، بحسب الباحث.
تمكن Muthiyah من تعديل هجومه عن طريق المعالجة المتوازية ، والتي ترسل جميع الطلبات في نفس الوقت دون أي تأخير ، ونجحت في الحصول على الكود الصحيح.
ومع ذلك ، في سيناريوهات العالم الحقيقي ، فإن ناقل الهجوم هذا ليس بسيطاً. لتجاوز رمز مكون من سبعة أرقام يتطلب قوة حوسبة كبيرة ، وإذا تم دمجها مع الحاجة أيضاً إلى كسر رمز 2FA المصاحب - عند تمكين هذه الميزة على حساب Microsoft مستهدف - فقد يتطلب ذلك ملايين الطلبات في المجموع.
أبلغ Muthiyah عن النتائج التي توصل إليها وأرسل إلى شركة Microsoft فيديو إثبات المفهوم (PoC) كدليل. قال صائد الجوائز أن عملاق التكنولوجيا "كان سريعاً في الإعتراف بالمشكلة" وتم إصدار تصحيح في نوفمبر 2020.
تم تعيين تصنيف خطورة للثغرة الأمنية "مهمة" من قِبل Microsoft - نظراً لتعقيد تشغيل عمليات الإستغلال من خلال الخطأ - وتم وصفها على أنها "رفع الإمتياز (بما في ذلك تجاوز المصادقة متعددة العوامل)" ، وفقاً لرسالة بريد إلكتروني لقطة شاشة مشتركة بواسطة Muthiyah.
تم إصدار جائزة bug bounty البالغة 50000 دولار في 9 فيفري عبر منصة HackerOne bug bounty ، وهي شريك لتوزيع المكافآت. تقدم Microsoft ما بين 1500 دولار و 100000 دولار لتقارير الأخطاء الصالحة.
وعلق Muthiyah: "أود أن أشكر دان وجاريك وفريق MSRC بأكمله على الإستماع بصبر إلى جميع تعليقاتي ، وتقديم التحديثات ، وإصلاح المشكلة".
