Badacze zidentyfikowali krytyczną lukę w systemie uwierzytelniania wieloskładnikowego (MFA) Microsoft Azure, umożliwiającą nieautoryzowany dostęp do kont użytkowników w czasie krótszym niż godzina. Ta luka wykryta przez Oasis Security naraziła ponad 400 milionów kont Microsoft 365 na potencjalne przejęcia kont, co wiązało się z ryzykiem obejmującym usługi Outlook, OneDrive, Teams i Azure Cloud. Luka wynika z braku ograniczenia szybkości nieudanych prób MFA, co umożliwia atakującym wykorzystanie systemu bez ostrzegania użytkowników.

Krytyczna luka w MFA Microsoft Azure ujawnia 400 milionów kont

Zidentyfikowana metoda obejścia, nazwana „AuthQuake”, umożliwiła badaczom szybkie tworzenie nowych sesji podczas wyliczania kodów. Tal Hason, inżynier badawczy w Oasis, wyjaśnione że technika ta wymagała jednoczesnego wykonywania wielu prób logowania, co szybko wyczerpało możliwości 6-cyfrowego kodu. Atak pozostał dyskretny, ponieważ właściciele kont nie otrzymali żadnych powiadomień o podejrzanych działaniach.

Luka umożliwiała hakerom odgadywanie kodów znacznie dłużej niż standardowy okres ważności zalecany w dokumencie RFC-6238 grupy zadaniowej Internet Engineering Task Force. Zwykle jednorazowe hasła czasowe (TOTP) powinny wygasać po 30 sekundach, ale analiza Oasis wykazała, że ​​kody Microsoftu pozostawały ważne przez około trzy minuty. Znacząco zwiększyło to prawdopodobieństwo udanego odgadnięcia, dając atakującym 3% szans na złamanie kodu w dłuższym czasie.

You Might Also Like
Trend duchów TikTok: Jak zdobyć filtr mangi AI?
Trend duchów TikTok: Jak zdobyć filtr mangi AI?
Wyciek danych z interfejsu API Twittera budzi pytania o chronionych użytkowników Twittera
Wyciek danych z interfejsu API Twittera budzi pytania o chronionych użytkowników Twittera
Wyciek zestawu The Sims 4 Średniowieczny ujawnia nowe DLC
Wyciek zestawu The Sims 4 Średniowieczny ujawnia nowe DLC

4 lipca 2024 r. firma Oasis poinformowała Microsoft o luce i chociaż firma przyznała się do niej w czerwcu, trwała poprawka została wdrożona dopiero 9 października 2024 r. Uchwała zawierała bardziej rygorystyczne limity szybkości, które będą uruchamiane po określonej liczbie nieudanych prób . Organizacje zachęca się do zwiększania bezpieczeństwa za pomocą aplikacji uwierzytelniających lub metod bezhasłowych, które zapewniają lepszą ochronę przed potencjalnymi atakami.

  Jak kupić kryptowalutę Pancat w 2022 roku?

Incydent podkreśla potrzebę przyjęcia najlepszych praktyk przez organizacje korzystające z MFA. Eksperci zalecają wdrożenie alertów w przypadku nieudanych prób uwierzytelnienia, co umożliwi organizacjom wczesne wykrycie szkodliwej aktywności. Regularne przeglądy ustawień zabezpieczeń są niezbędne do identyfikowania bieżących luk w zabezpieczeniach.

Ponadto specjaliści ds. bezpieczeństwa podkreślają znaczenie konsekwentnych zmian haseł w ramach solidnej higieny konta. Niewidzialność ataku ilustruje, jak naruszona ochrona MFA może zmienić się ze istotnego środka bezpieczeństwa w wektor ataku. W związku z tym eksperci opowiadają się za przejściem w stronę rozwiązań uwierzytelniania bez hasła, szczególnie w przypadku nowych wdrożeń.

Różne organizacje zajmujące się cyberbezpieczeństwem nadal wyciągają wnioski z tego incydentu i zauważają, że nawet powszechnie akceptowane praktyki bezpieczeństwa są w pewnych okolicznościach podatne na ataki. W miarę postępu dochodzenia w sprawie incydentu znaczenie ciągłej czujności we wdrażaniu pomocy makrofinansowej pozostaje jasne.

Autor wyróżnionego obrazu: Eda Hardiego/Unsplash

Wpis dotyczący tej luki MFA, przez wiele miesięcy narażającej użytkowników Office 365 na cyberataki, pojawił się jako pierwszy w serwisie TechBriefly.

  Ile zarabia YouTuber EST Gee?

Source: Ta luka MFA na wiele miesięcy naraziła użytkowników Office 365 na cyberataki