Un chasseur de failles a révélé un bug de sécurité pouvant permettre le détournement des comptes Microsoft. Cette vulnérabilité importante lui a permis de bénéficier d’une récompense de 50 000 dollars.

En effet, le chercheur Laxman Muthiyah a expliqué dans un article de blog que la faille de sécurité aurait pu « permettre à n’importe qui de prendre le contrôle de n’importe quel compte Microsoft sans autorisation ». Néanmoins, il a été indiqué dans une discussion concernant l’enquête que la faille ne concernait que les comptes grand public. Le chercheur a d’abord repéré une faille de limitation du débit sur Instagram, puis a appliqué les mêmes tests de protection aux comptes Microsoft.

La réinitialisation du mot de passe d’un compte Microsoft se fait en soumettant via la page « mot de passe oublié » son adresse mail ou bien son numéro de téléphone. L’utilisateur recevra par la suite un code de sécurité à sept chiffres en guise de moyen de vérification, qui doit être fourni pour pouvoir créer un nouveau mot de passe. Un attaquant pourrait utiliser une attaque par force brute pour obtenir le code à sept chiffres et réinitialiser le mot de passe sans l’autorisation du propriétaire du compte. Cependant, afin d’éviter cela, il existe ce qu’on appelle les limitations de trafic, du chiffrement et des contrôles.

Après avoir examiné les défenses de Microsoft, le chercheur récompensé a pu « détourner » le chiffrement de l’entreprise et « automatiser l’ensemble du processus, du chiffrement du code jusqu’à l’envoi de plusieurs demandes simultanées ». Pendant l’un des tests réalisés, 1000 codes ont été envoyés, dont 122 uniquement ont été traitées tandis que les autres aboutissaient à une erreur ou à un blocage. Avec l’envoi de demandes simultanées, Laxman Muthiyah a pu contourner à la fois le chiffrement et le mécanisme de blocage. Ce procédé reste fonctionnel à condition qu’il n’y ait pas de retard, étant donné que quelques millisecondes seulement suffisent pour la détection des demandes et leur inscription sur la liste noire, d’après le chercheur. Ce dernier a réussi son attaque grâce à un traitement parallèle, en envoyant toutes les demandes en même temps sans aucun délai. Ceci lui a permis d’obtenir le code correct.

Le chercheur a partagé ses conclusions et a envoyé à Microsoft une vidéo de preuve de concept (Proof-of-Concept, PoC). Il affirme que la société a « vite reconnu le problème, et a publié un correctif en Novembre 2020. Microsoft a classé cette faille comme étant « importante », à cause de la complexité de la manipulation pour l’exploiter, et a été classifiée comme « élévation de privilège (notamment le contournement de l’authentification multifactorielle) ». Quant à la prime de 50 000 dollars, celle-ci a été attribuée le 9 Février au chercheur via la plateforme HackerOne, qui assure la gérance de la distribution des récompenses de programmes de bug bounty.