Microsoft: 50.000 dollari per un bug che avrebbe consentito l’accesso a qualsiasi account.

#Microsoft ha assegnato a un #ricercatore di #sicurezza indipendente 50.000 dollari come parte del suo programma di #bug #bounty per aver segnalato un difetto che avrebbe potuto consentire a un malintenzionato di #dirottare gli #account degli utenti a loro insaputa.

Segnalata da Laxman #Muthiyah, la #vulnerabilità mira a forzare il codice di sicurezza a sette cifre inviato all’indirizzo e-mail o al numero di cellulare di un utente per confermare la sua #identità prima di reimpostare la #password per recuperare l’accesso all’account.

In altre parole, lo scenario di acquisizione dell’account è una conseguenza di una #escalation dei #privilegi derivante da un #bypass dell’#autenticazione su un #endpoint che viene utilizzato per verificare i codici inviati come parte del processo di ripristino dell’account.

La società ha affrontato la questione nel novembre 2020, prima che i dettagli del difetto venissero alla luce martedì.

#redhotcyber #cybersecurity #technology #hacking #hacker

https://thehackernews.com/2021/03/a-50000-bug-couldve-allowed-hackers.html

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks