חולשה במנגון ה 2FA המסוגל להוביל לתקיפות פישיניג נרחבות על משתמשי מיקרוסופט

במחקר המובא לפניכם אשר ביצעה חברת Cysource המחזיקה בבעלותה של ITSAFE, צוות המחקר בהובלתו של שי אלפסי הצליח לנצל חולשה במנגנון שליחת ה SMS של מנגנון הזדהות הדו שלבי של מיקרוסופט. כתוצאה מכך צוות המחקר יכל לערוך את ההודעות הנשלחות אל משתמשי מיקרוסופט ולנצל את מנגון שליחת ההודעות על מנת לייצא תקיפות פישיניג או לבצע שיחות טלפון ולנצל את הבוט האוטומטי של מיקרוסופט על מנת להעביר מסרים או לדלות מידע ממשתמשים. החולשה נמצאה בדף rewards.microsoft.com איפשרה למשתמש להכניס את מספר הטלפון שלו על מנת לקבל קוד לאימות דו שלבי, המפתחים של מיקרוסופט לא דאגו לבצע אימות של מספר הטלפון של המשתמש בעת ההתחברות.

כתוצאה מכך היה ניתן להשתמש במנגון ולבצע בו פעולות רבות, כאשר ההודעה לאימות נשלחה למשתמש היה ניתן לעצור אותה ולערוך את התוכן, לדוגמה התוכן המקורי של ההודעה:

"Your Microsoft Rewards Confirmation Code is XXXXX"

ולאחר השינוי שלנו:

"Your Microsoft account has been hacked, We will contact you to validate your data”

באופן הזה ניתן היה לגרום למשתמשים לחשוב שחשבונם נפרץ ולבצע אסקלציה לטובת בקשת פרטים מזהים או לחילופין להפנות לדף שינוי סיסמה אשר יאסוף את הסיסמה הישנה.

לאחר פנייה אל מיקרוסופט, החולשה תוקנה במהירות.

ולסיום, הוכחת יכולת של Abuse על אותו מנגון: