[하루한줄] Microsoft online service account takeover

URL

How I Might Have Hacked Any Microsoft Account

Target

Microsoft 계정

Explain

Microsoft 계정의 계정 복구(비밀번호 재설정) 기능에서 account takeover 취약점이 발견되고 패치되었습니다. Microsoft 계정의 비밀번호를 재설정하기 위해선 email 혹은 휴대폰으로 보안 문자를 받아 입력하는 인증 절차를 거쳐야 합니다. 보안 문자는 7자리 숫자로 총 10^7 (천만) 개의 경우의 수가 있습니다.

당연히 Brute force 공격을 방지하기 위해 보안 문자 인증 시도 횟수를 제한하지만 여러 IP를 이용한 Web Application Race condition을 통해 우회가 가능합니다. 여러 IP 주소로부터 동시에 인증 request를 보내는 방법을 통해 제한 횟수를 넘어선 인증 시도를 할 수 있습니다.

해당 공격을 성공적으로 수행하기 위해선 다음과 같은 조건을 만족해야 합니다.

  1. Request의 암호화 방식에 대한 지식 필요함.
  2. 충분한 개수의 IP 주소가 필요함.
  3. 모든 request가 Microsoft Server에 동시에 도달해야 함.

Reference

https://thezerohack.com/hack-any-instagram