Badacze zidentyfikowali krytyczną lukę w systemie uwierzytelniania wieloskładnikowego (MFA) Microsoft Azure, umożliwiającą nieautoryzowany dostęp do kont użytkowników w czasie krótszym niż godzina. Ta luka wykryta przez Oasis Security naraziła ponad 400 milionów kont Microsoft 365 na potencjalne przejęcia kont, co wiązało się z ryzykiem obejmującym usługi Outlook, OneDrive, Teams i Azure Cloud. Luka wynika z braku ograniczenia szybkości nieudanych prób MFA, co umożliwia atakującym wykorzystanie systemu bez ostrzegania użytkowników.
Krytyczna luka w MFA Microsoft Azure ujawnia 400 milionów kont
Zidentyfikowana metoda obejścia, nazwana „AuthQuake”, umożliwiła badaczom szybkie tworzenie nowych sesji podczas wyliczania kodów. Tal Hason, inżynier badawczy w Oasis, wyjaśnione że technika ta wymagała jednoczesnego wykonywania wielu prób logowania, co szybko wyczerpało możliwości 6-cyfrowego kodu. Atak pozostał dyskretny, ponieważ właściciele kont nie otrzymali żadnych powiadomień o podejrzanych działaniach.
Luka umożliwiała hakerom odgadywanie kodów znacznie dłużej niż standardowy okres ważności zalecany w dokumencie RFC-6238 grupy zadaniowej Internet Engineering Task Force. Zwykle jednorazowe hasła czasowe (TOTP) powinny wygasać po 30 sekundach, ale analiza Oasis wykazała, że kody Microsoftu pozostawały ważne przez około trzy minuty. Znacząco zwiększyło to prawdopodobieństwo udanego odgadnięcia, dając atakującym 3% szans na złamanie kodu w dłuższym czasie.
4 lipca 2024 r. firma Oasis poinformowała Microsoft o luce i chociaż firma przyznała się do niej w czerwcu, trwała poprawka została wdrożona dopiero 9 października 2024 r. Uchwała zawierała bardziej rygorystyczne limity szybkości, które będą uruchamiane po określonej liczbie nieudanych prób . Organizacje zachęca się do zwiększania bezpieczeństwa za pomocą aplikacji uwierzytelniających lub metod bezhasłowych, które zapewniają lepszą ochronę przed potencjalnymi atakami.
Incydent podkreśla potrzebę przyjęcia najlepszych praktyk przez organizacje korzystające z MFA. Eksperci zalecają wdrożenie alertów w przypadku nieudanych prób uwierzytelnienia, co umożliwi organizacjom wczesne wykrycie szkodliwej aktywności. Regularne przeglądy ustawień zabezpieczeń są niezbędne do identyfikowania bieżących luk w zabezpieczeniach.
Ponadto specjaliści ds. bezpieczeństwa podkreślają znaczenie konsekwentnych zmian haseł w ramach solidnej higieny konta. Niewidzialność ataku ilustruje, jak naruszona ochrona MFA może zmienić się ze istotnego środka bezpieczeństwa w wektor ataku. W związku z tym eksperci opowiadają się za przejściem w stronę rozwiązań uwierzytelniania bez hasła, szczególnie w przypadku nowych wdrożeń.
Różne organizacje zajmujące się cyberbezpieczeństwem nadal wyciągają wnioski z tego incydentu i zauważają, że nawet powszechnie akceptowane praktyki bezpieczeństwa są w pewnych okolicznościach podatne na ataki. W miarę postępu dochodzenia w sprawie incydentu znaczenie ciągłej czujności we wdrażaniu pomocy makrofinansowej pozostaje jasne.
Autor wyróżnionego obrazu: Eda Hardiego/Unsplash
Wpis dotyczący tej luki MFA, przez wiele miesięcy narażającej użytkowników Office 365 na cyberataki, pojawił się jako pierwszy w serwisie TechBriefly.
Source: Ta luka MFA na wiele miesięcy naraziła użytkowników Office 365 na cyberataki
