Vulnerabilitatea Microsoft Azure MFA permite accesul neautorizat la conturile de utilizator

O echipă de specialiști au identificat o vulnerabilitate critică în implementarea autentificării multi-factor (MFA) a Microsoft, ce poate expune peste 400 de milioane de conturi Office 365 accesului neautorizat.

Vulnerabilitatea, denumită AuthQuake, a permis atacatorilor să ocolească măsurile de securitate MFA și să obțină acces la conturile utilizatorilor, inclusiv la căsuțele de e-mail Outlook, fișierele OneDrive, chat-urile Teams și resursele Azure Cloud.

AuthQuake provine din două erori cheie ale sistemului MFA al Microsoft:

• Lipsa limitării numărului de coduri: atacatorii ar putea crea rapid sesiuni noi și ar putea încerca să ghicească simultan mai multe coduri, epuizând rapid toate combinațiile posibile de coduri din 6 cifre;
• Valabilitate extinsă a codurilor: codurile TOTP au rămas valabile timp de aproximativ 3 minute, mult mai mult decât cele 30 de secunde standard, ceea ce a sporit oportunitatea atacatorilor.

În mod alarmant, exploatarea nu a necesitat interacțiune din partea utilizatorului și nu a generat alerte, făcând ca utilizatorii conturilor să nu fie conștienți de atacul în curs.

Tehnica de ocolire a exploatat punctele slabe ale sistemului TOTP (time-based one-time password):

• Atacatorii au inițiat sesiuni multiple folosind aceiași parametri;
• Prin generarea rapidă de noi sesiuni și enumerarea codurilor, aceștia puteau încerca combinații la o rată ridicată;
• Intervalul de valabilitate prelungit de 3 minute pentru coduri a crescut șansele de a obține un rezultat pozitiv.

Remedierea permanentă a implicat introducerea unor mecanisme mai stricte de limitare a numărului de conexiuni care se activează după un număr de încercări eșuate, timp de aproximativ o jumătate de zi.

Sursă: https://cybersecuritynews.com/microsoft-azure-mfa-vulnerability/