微软披露价值50000美金的新漏洞

，虽然有旨在防止攻击者自动重复提交所有1000万个代码组合的加密障碍和限速检查，但该安全人员表示，他最终破解了该加密功能。

但是破解了加密功能，并不意味着攻击一定能成功。事实上，测试显示，在发送的1000个代码中，只有122个代码能够通过，其他代码以错误代码1211被阻止。

对此安全人员表示，如果所有发送的请求没有同时到达服务器，自带的机制就会将IP地址列入黑名单。并且，请求之间的几毫秒延迟就能让服务器检测到攻击并阻止它。

从攻击范围来看，虽然这种攻击只在账户没有被双因素认证保护的情况下有效，但它仍然可以扩展到击败两层保护并修改目标账户的密码。然而，在实际场景中，该攻击的操作难度并不简单，攻击者必须同时发送安全码，大约要进行1100万次请求尝试，才能更改任何微软账户(包括那些启用2FA的账户)的密码。这样一来，就需要大量的计算资源以及1000s的IP地址才能成功完成攻击。

因此，这种攻击的可行性并不高，普通的攻击者很难满足攻击条件。

（编辑：大同站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!