Uma vulnerabilidade crítica no sistema de autenticação multifator (MFA) da Microsoft deixou milhões de contas expostas ao acesso não autorizado. A falha, divulgada por pesquisadores da Oasis Security, explorava fraquezas no processo de autenticação, permitindo que invasores executassem ataques furtivos de força bruta.
A vulnerabilidade, envolvendo controles insuficientes de limitação de taxa, colocou em risco dados confidenciais em serviços como OneDrive, Teams e Azure Cloud. Oasis Security diz que “os proprietários de contas fizeram não receber nenhum alerta sobre o grande número de tentativas fracassadas, tornando essa vulnerabilidade e técnica de ataque perigosamente discretas.”
Desde então, a Microsoft corrigiu o problema, mas o incidente mostra como as vulnerabilidades pode existir mesmo em sistemas de segurança amplamente confiáveis.
Como funcionou a falha de MFA da Microsoft
A vulnerabilidade explorou a Time-based One-Time Password da Microsoft Mecanismo de autenticação de senha única (TOTP) Os TOTPs geram códigos de seis dígitos usados como um segundo fator de autenticação, normalmente por meio de um aplicativo móvel ou token de hardware.
Os invasores conseguiram contornar as proteções padrão. iniciando rapidamente várias sessões de login simultâneas. Essa abordagem permitiu que eles adivinhassem códigos em diversas sessões sem serem restringidos por limites de taxa de sessão única.
O relatório da Oasis Security detalhou a mecânica do ataque: “Ao criar rapidamente novas sessões e enumerar códigos, a equipe de pesquisa demonstrou uma taxa muito alta de tentativas que esgotaria rapidamente o número total de opções para um código de 6 dígitos (1.000.000).”A equipe descobriu que esse método permitia 50% de chance de sucesso em aproximadamente 70 minutos.
Relacionado: Malware baseado em IA: como aplicativos falsos e CAPTCHAs têm como alvo usuários de Windows e macOS
Aumentando a gravidade da falha, a implementação da Microsoft códigos TOTP aceitos por até três minutos-seis vezes mais do que a janela de 30 segundos padrão da indústria recomendada sob o Diretriz RFC-6238 De acordo com a Oasis Security, “Os testes com login da Microsoft mostraram uma tolerância de cerca de 3 minutos para um código único, estendendo-se por 2,5 minutos após sua expiração, permitindo o envio de 6x mais tentativas.”
Cronograma de descoberta e resolução
A vulnerabilidade foi divulgada à Microsoft em junho de 2024, depois que a Oasis Security conduziu simulações demonstrando a exploração. A Microsoft respondeu com um plano de correção em duas etapas.
Um patch temporário foi implementado em 4 de julho de 2024, reduzindo a frequência de tentativas de login permitidas por sessão. Uma correção permanente ocorreu em 9 de outubro de 2024, introduzindo medidas de limitação de taxa mais rígidas que bloqueiam temporariamente as tentativas de login por até 12 horas após falhas repetidas.
Relacionado: Microsoft apresenta FIDO2 e Atualizações de senha para autenticador
A Oasis Security elogiou a ação imediata da Microsoft, mas enfatizou a importância de abordar pontos fracos fundamentais nos sistemas de autenticação. Os pesquisadores declararam: “Essa vulnerabilidade destaca como até mesmo sistemas de segurança básicos podem ser explorados quando as proteções não são implementadas adequadamente.”
Por que esse ataque foi particularmente perigoso
Um dos aspectos mais alarmantes desta vulnerabilidade foi a sua natureza furtiva. O ataque não acionou notificações para os proprietários das contas, permitindo que os invasores operassem sem serem detectados. “Durante esse período, os proprietários das contas não receberam nenhum alerta sobre o problema. um grande número de tentativas fracassadas consequentes, tornando esta vulnerabilidade e técnica de ataque perigosamente discreta.”
Relacionado: Microsoft aprimora opções de atualização do Windows, detalha mandato do Azure MFA
Essa baixa visibilidade significava que os usuários , especialmente em ambientes corporativos, corriam riscos aumentados. O acesso não autorizado a contas corporativas pode resultar em violações de dados, espionagem ou movimentação lateral dentro das redes, comprometendo potencialmente sistemas inteiros.
Implicações mais amplas para sistemas de autenticação
A falha do Microsoft MFA reacendeu as discussões sobre as limitações dos sistemas de autenticação de segredos compartilhados, como os TOTPs. Esses sistemas, embora amplamente utilizados, dependem de mecanismos de validação estática que podem ser explorados por meio de ataques de força bruta.
Os sistemas de autenticação baseados em segredos compartilhados carregam vulnerabilidades inerentes, e as organizações precisam adotar atualizações e avaliar se as abordagens MFA legadas ainda são adequadas.
Os sistemas MFA tradicionais geralmente validam dispositivos em vez de garantir o usuário individual é autenticado.
Relacionado: aumento nos compromissos com contas do Microsoft Azure gera alarme entre empresas
Lições para organizações que usam MFA
As conclusões da Oasis Security sublinham a importância de implementar salvaguardas fortes em torno dos sistemas MFA. O relatório recomenda diversas práticas recomendadas para mitigar os riscos:
As organizações devem ativar alertas em tempo real para notificar os usuários sobre tentativas de autenticação malsucedidas. Esse recurso fornece detecção precoce de ataques de força bruta e permite que os usuários tomem medidas imediatas, como redefinir senhas ou entrar em contato com o suporte.
A transição para métodos de autenticação sem senha, como sistemas baseados em chaves criptográficas, é outra etapa recomendada. Esses sistemas eliminam vulnerabilidades secretas compartilhadas, proporcionando uma estrutura de segurança mais robusta. Finalmente, as organizações devem realizar auditorias de segurança regulares para identificar e resolver vulnerabilidades nos mecanismos de autenticação.
Em seu relatório, a Oasis Security concluiu: “Embora a MFA continue sendo uma camada de segurança vital, este incidente ilustra que sistemas mal implementados podem se tornar um vetor de ataque.”
Este incidente serve como um poderoso lembrete da evolução das táticas usadas pelos ciberataques e dos desafios contínuos de proteger os sistemas de autenticação em escala. Embora a resposta da Microsoft tenha efetivamente mitigado a falha, a vulnerabilidade destaca o importância de medidas proativas para evitar incidentes semelhantes no futuro.
