Oasis Security 的研究团队公布了微软 Azure 的多因素身份验证(MFA)系统中的一个关键漏洞,它使数百万用户面临潜在的漏洞攻击。这种绕过技术允许攻击者未经授权访问敏感账户,包括 Outlook 电子邮件、OneDrive 文件、Teams 聊天和 Azure 云服务,而无需用户交互或通知。

该漏洞利用了基于时间的一次性密码(TOTP)实施中的弱点,这是大多数验证器应用程序使用的标准。据 Oasis 称,攻击者可以利用以下关键问题绕过 MFA:

缺乏速率限制: 报告指出:“通过快速创建新会话和枚举代码,Oasis 研究团队展示了非常高的尝试率,这将很快耗尽 6 位代码的选项总数。”由于缺乏适当的节流措施,攻击者可以同时执行多次尝试。

延长代码有效期: 虽然 TOTP 代码的有效期通常为 30 秒,但微软的系统允许约三分钟的容许窗口,为暴力尝试提供了六倍于通常的时间框架。这个延长的窗口大大增加了猜测有效代码的机会。

攻击方法简单而隐蔽,令人震惊。Oasis Security 公司报告说:“旁路非常简单,执行时间约为一小时,不需要用户交互,也不会产生任何通知或向账户持有人提供任何麻烦迹象。”

在大约 70 分钟内,攻击者有 50% 的机会成功猜出代码。这一时间框架加上攻击的无声性,使许多组织容易遭受未被发现的漏洞攻击。

发现漏洞后,Oasis Security 与微软合作解决了这一问题。虽然具体的技术细节仍然保密,但该公司引入了更严格的速率限制措施。据该报告称,“微软引入了更为严格的速率限制,在尝试失败若干次后就会生效;严格的限制持续时间约为半天”。

文章原文链接:https://www.anquanke.com/post/id/302727