Cyberthreat.id – Microsoft memberikan hadiah kepada pemburu kerentanan (bug hunter) sebesar US$50.000 (sekitar Rp712 juta) karena berhasil mengungkap kerentanan yang bisa menyebabkan pembajakan akun.

Peneliti keamanan siber bernama Laxman Muthiyah itu menemukan kelemahan yang "memungkinkan siapa pun untuk mengambil alih akun Microsoft apa pun tanpa izin.”

Namun, dalam laporannya yang diunggah di blog pribadinya, Selasa (2 Maret 2021), seperti dikutip dari ZDNet, diakses Rabu (3 Maret), kerentanan itu hanya berpengaruh pada akun konsumen.

Untuk mengatur ulang kata sandi akun, Microsoft umumnya meminta alamat email atau nomor telepon untuk dikirimkan melalui halaman "Forgotten Password”. Kode keamanan tujuh digit kemudian dikirim sebagai metode verifikasi (semacam kode OTP) kepada pengguna. Di sinilah, titik celah itu.

Dengan serangan brute force untuk mendapatkan kode tujuh digit, peretes bisa saja mengatur ulang kata sandi tanpa izin pemilik akun.

Setelah memeriksa pertahanan Microsoft, Muthiyah mampu "membobol" enkripsi perusahaan dan "mengotomatiskan seluruh proses dari mengenkripsi kode hingga mengirim beberapa permintaan bersamaan."

Eksperimen melibatkan 1.000 upaya kode yang dikirim, tetapi hanya 122 yang diproses. Sementara, eksperimen lainnya menghasilkan kesalahan dan permintaan lebih lanjut dari akun pengujian telah diblokir.

Namun, dalam skenario dunia nyata, vektor serangan ini bukanlah yang sederhana. Untuk melewati satu kode tujuh digit akan membutuhkan daya komputasi yang besar dan jika digabungkan dengan kemampuan memecahkan kode 2FA yang menyertainya, ini membutuhkan jutaan permintaan.

Setelah menerima laporan dari Muthiyah, Microsoft  mengakui masalah tersebut dan tambalan (patch) pun telah dikeluarkan pada November 2020.

Kerentanan diberi peringkat tingkat keparahan "penting" oleh Microsoft karena bisa memicu eksploitasi melalui bug. Selain itu, kerentanan juga digambarkan sebagai "peningkatan hak istimewa (termasuk bypass 2FA)”.

Muthiyah menerima hadiah pada 9 Februari lalu melalui HackerOne selaku mitra Microsoft dalam penyelenggaraan program sayembara pencarian bug alias bug bounty.[]