Chyba Microsoft MFA AuthQuake umožnila vlnu útoků

Kyberbezpečnostní experti upozornili na kritickou bezpečnostní zranitelnost v implementaci více faktorové autentizace (MFA) společnosti Microsoft, která umožňuje útočníkovi snadno obejít ochranu a získat neoprávněný přístup k účtu oběti.

Obejití bylo jednoduché: trvalo přibližně hodinu, nevyžadovalo žádnou interakci uživatele a nevygenerovalo žádné upozornění ani neposkytlo držiteli účtu žádnou indikaci problému,“ uvedli výzkumníci z Oasis Security Elad Luz a Tal Hason.

Po nahlášení byl problém – kódově označený jako AuthQuake – vyřešen společností Microsoft v říjnu 2024.

Zatímco Microsoft podporuje různé způsoby autentizace uživatelů prostřednictvím MFA, jedna z metod zahrnuje zadání šestimístného kódu z autentizační aplikace po zadání přihlašovacích údajů. Pro jednu relaci je povoleno až 10 po sobě jdoucích neúspěšných pokusů.

Zranitelnost identifikovaná společností Oasis se týká absence omezení rychlosti a prodlouženého časového intervalu při poskytování a ověřování těchto jednorázových kódů, což umožňuje hackerovi rychle spustit nové relace a vyzkoušet všechny možné permutace kódu (tj. jeden milion) bez toho, aby oběť byla upozorněna na neúspěšné pokusy o přihlášení.

Je třeba poznamenat, že takové kódy, označované také jako jednorázová hesla založená na čase (TOTP), jsou časově omezené, přičemž jsou generovány pomocí aktuálního času jako zdroje náhodnosti. Kódy navíc zůstávají aktivní pouze po dobu přibližně 30 sekund, poté jsou nahrazeny novými.

„Nicméně kvůli možným časovým rozdílům a zpožděním mezi validátorem a uživatelem je validátor povzbuzován k tomu, aby přijal větší časové okno pro kód,“ upozornila společnost Oasis. „Stručně řečeno, to znamená, že jeden TOTP kód může být platný déle než 30 sekund.“

 

Zdroj: TheHackerNews

Zdroj: IT SECURITY NETWORK NEWS