Door een kritieke kwetsbaarheid in het Multi-Factor Authentication (MFA)-systeem van Microsoft werden miljoenen accounts blootgesteld aan ongeautoriseerde toegang. De fout, onthuld door onderzoekers van Oasis Security, maakte gebruik van zwakke punten in het authenticatieproces, waardoor aanvallers heimelijke brute-force-aanvallen konden uitvoeren.
De kwetsbaarheid, die onvoldoende snelheidsbeperkende controles met zich meebracht, bracht gevoelige gegevens in services als OneDrive, Teams en Azure Cloud in gevaar. Oasis Security zegt dat “accounteigenaren dat deden geen enkele waarschuwing ontvangen over het enorme aantal daaropvolgende mislukte pogingen, waardoor deze kwetsbaarheid en aanvalstechniek gevaarlijk onopvallend zijn.”
Microsoft heeft het probleem sindsdien gepatcht, maar het incident laat zien hoe kwetsbaarheden kunnen bestaan, zelfs in algemeen vertrouwde beveiliging systemen.
Hoe de Microsoft MFA-fout werkte
Het beveiligingslek maakte misbruik van het Time-based One-Time Password (TOTP) van Microsoft authenticatiemechanismen. TOTP’s genereren codes van zes cijfers die als tweede authenticatiefactor worden gebruikt, meestal via een mobiele app of hardwaretoken.
Aanvallers konden de standaardbeveiligingen omzeilen door snel meerdere gelijktijdige inlogsessies te starten. Dankzij deze aanpak konden ze codes raden in meerdere sessies zonder te worden beperkt door snelheidslimieten voor één sessie.
Het rapport van Oasis Security beschrijft de mechanismen van de aanval: “Door snel nieuwe sessies te creëren en codes op te sommen, kon het onderzoeksteam toonde een zeer hoog aantal pogingen aan, waardoor het totale aantal opties voor een zescijferige code (1.000.000) snel zou worden uitgeput.”Het team ontdekte dat deze methode een kans van 50% op succes binnen ongeveer 70 minuten mogelijk maakte. minuten.
Gerelateerd: AI-gestuurde malware: hoe valse apps en CAPTCHA’s zich richten op Windows-en macOS-gebruikers
Wat de ernst van de fout nog groter maakt, is de implementatie van Microsoft geaccepteerde TOTP-codes gedurende maximaal drie minuten: zes keer langer dan het industriestandaardvenster van 30 seconden dat wordt aanbevolen onder RFC-6238-richtlijn Volgens Oasis Security toonden testen met Microsoft-aanmelding een tolerantie van ongeveer 3 minuten voor a enkele code, die 2,5 minuten na de vervaldatum verlengt, waardoor 6x meer pogingen kunnen worden verzonden.”
Tijdlijn van ontdekking en oplossing
De kwetsbaarheid is bekendgemaakt aan Microsoft in juni 2024 nadat Oasis Security simulaties had uitgevoerd om de exploit te demonstreren. Microsoft reageerde met een herstelplan in twee stappen.
Op 4 juli 2024 werd een tijdelijke patch geïmplementeerd, waardoor de frequentie van toegestane inlogpogingen per sessie werd verminderd. Op 9 oktober 2024 volgde een permanente oplossing, waarbij strengere snelheidsbeperkende maatregelen werden geïntroduceerd die inlogpogingen tijdelijk tot 12 uur lang blokkeren na herhaalde mislukkingen.
Gerelateerd: Microsoft introduceert FIDO2 en Wachtwoordupgrades naar Authenticator
Oasis Security prees de snelle actie van Microsoft, maar benadrukte het belang van het aanpakken van fundamentele zwakheden in authenticatiesystemen. De onderzoekers verklaarden: “Deze kwetsbaarheid benadrukt hoe zelfs fundamentele beveiligingssystemen kunnen worden uitgebuit als de veiligheidsmaatregelen niet op de juiste manier worden geïmplementeerd.”
Waarom deze aanval bijzonder gevaarlijk was
Gerelateerd: Microsoft verbetert Windows Update-opties, details Azure MFA-mandaat
Deze lage zichtbaarheid betekende dat gebruikers , vooral in bedrijfsomgevingen, liepen een verhoogd risico. Ongeautoriseerde toegang tot bedrijfsaccounts kan leiden tot datalekken, spionage of zijdelingse verplaatsing binnen netwerken, waardoor mogelijk hele systemen in gevaar kunnen komen.
Bredere implicaties voor authenticatiesystemen
De Microsoft MFA-fout heeft de discussies over de beperkingen van gedeelde geheime authenticatiesystemen zoals TOTP’s opnieuw aangewakkerd. Hoewel deze systemen op grote schaal worden gebruikt, zijn ze afhankelijk van statische validatiemechanismen die kunnen worden uitgebuit via brute-force-aanvallen.
Op gedeelde geheimen gebaseerde authenticatiesystemen brengen inherente kwetsbaarheden met zich mee, en organisaties moeten updates adopteren en evalueren of oudere MFA-benaderingen nog steeds geschikt zijn.
Traditionele MFA-systemen valideren vaak apparaten in plaats van te garanderen de individuele gebruiker wordt geverifieerd.
Gerelateerd: toename van het aantal inbreuken op Microsoft Azure-accounts veroorzaakt alarm bij bedrijven
Lessen voor organisaties die gebruik maken van MFA
De bevindingen van Oasis Security onderstrepen het belang van het implementeren van sterke waarborgen rond MFA-systemen. Het rapport beveelt verschillende best practices aan om risico’s te beperken:
Organisaties moeten realtime waarschuwingen inschakelen om gebruikers op de hoogte te stellen van mislukte authenticatiepogingen. Deze mogelijkheid biedt vroegtijdige detectie van brute-force-aanvallen en stelt gebruikers in staat onmiddellijk actie te ondernemen, zoals het opnieuw instellen van wachtwoorden of contact opnemen met de ondersteuning.
De overstap naar wachtwoordloze authenticatiemethoden, zoals op cryptografische sleutels gebaseerde systemen, is een andere aanbevolen stap. Deze systemen elimineren gedeelde geheime kwetsbaarheden en bieden een robuuster beveiligingsframework. Ten slotte moeten organisaties regelmatig beveiligingsaudits uitvoeren om kwetsbaarheden in authenticatiemechanismen te identificeren en aan te pakken.
In hun rapport concludeert Oasis Security: “Hoewel MFA een essentiële beveiligingslaag blijft, illustreert dit incident dat slecht geïmplementeerde systemen kunnen worden een aanvalsvector.”
Dit incident dient als een krachtige herinnering aan de evoluerende tactieken die worden gebruikt door cyberaanvallers en de voortdurende uitdagingen van het beveiligen van authenticatiesystemen op grote schaal. Hoewel de reactie van Microsoft de fout effectief heeft verzacht, benadrukt de kwetsbaarheid de belang van proactieve maatregelen om dit te voorkomen soortgelijke incidenten in de toekomst.
