概要:
微软MFA的漏洞被命名为AuthQuake,允许攻击者绕过安全措施并访问账户。
漏洞影响了Azure、Office 365和其他微软服务,超过4亿用户面临风险。
漏洞利用了登录会话中缺乏速率限制和TOTP代码延长有效性的问题。
攻击者可以在不到70分钟内以50%的成功率绕过MFA,无需用户交互。
微软于2024年10月9日永久修补了该漏洞,引入了更严格的速率限制机制。
Oasis Security的网络安全研究人员在微软的多因素认证(MFA)中识别了一个名为AuthQuake的漏洞,该漏洞允许攻击者绕过安全措施并获得对用户账户的未授权访问。
在超过4亿的付费Office 365订阅中,这个漏洞对于网络犯罪分子来说是一个极具吸引力的机会,他们可以窃取微软平台上的敏感信息,如电子邮件、文件和通信,包括Outlook、OneDrive、Teams、Azure等。
利用速率限制和基于时间的一次性密码(TOTP)
该漏洞利用了MFA设置中的两个关键弱点:缺乏速率限制和TOTP代码的延长时间框架。用户登录时,他们会被分配一个会话ID,并要求使用认证器应用中的基于时间的一次性密码(TOTP)来验证身份。问题是系统允许每个会话最多有10次失败的登录尝试,而不会通知用户或触发任何警报。
缺乏速率限制允许攻击者快速创建新的登录会话并尝试多个TOTP代码,这些代码本质上是六位数字。鉴于这些代码有百万种可能的组合,攻击者理论上可以在不遇到任何安全措施的情况下穷尽所有选项。
另一方面,TOTP代码通常只有效30秒,但Oasis的测试显示,系统允许代码保持有效长达3分钟。这个延长的时段显著提高了攻击者猜测正确代码的成功几率。
结果如何?
根据Oasis Security在12月11日周三发布前与Hackread.com分享的博客文章,研究人员得出结论,攻击者可以在不到70分钟内以50%的成功率绕过MFA,而无需任何用户交互或警报。
微软的回应
Oasis Security向微软报告了这一事件。这家科技巨头迅速做出回应,并在2024年7月4日部署了临时修复措施后,于2024年10月9日实施了永久修复。修复措施包括在多次失败尝试后引入更严格的速率限制,持续约半天时间。
Sectigo的高级研究员Jason Soroko强调了这一发现的更广泛影响,他说:“AuthQuake突显了微软MFA实现中的重大缺陷。这是对组织采用补丁并重新考虑对过时MFA解决方案依赖的警钟。走向无密码认证不仅是趋势,也是为了未来证明我们的安全措施的必要性。”
对用户和公司的教训
虽然特定的漏洞已经被修补,但组织应该通知员工网络安全的重要性,并鼓励他们报告任何可疑的登录尝试。此外,尽管最近出现了问题,MFA仍然是关键的安全措施,因此,使用认证器应用或探索更强的无密码方法以获得额外保护。
文章原文链接:https://www.anquanke.com/post/id/302703