Krytyczna luka w systemie Multi-Factor Authentication (MFA) firmy Microsoft naraziła miliony kont na nieautoryzowany dostęp. Usterka ujawniona przez badaczy z Oasis Security wykorzystuje słabości procesu uwierzytelniania, umożliwiając atakującym przeprowadzanie potajemnych ataków brute-force.
Luka obejmująca niewystarczające mechanizmy ograniczające szybkość transmisji stwarzała ryzyko dla wrażliwych danych w usługach takich jak OneDrive, Teams i Azure Cloud. Oasis Security mówi , że „właściciele kont nie otrzyma żadnego powiadomienia o ogromnej liczbie nieudanych prób, co sprawia, że ta luka i technika ataku są niebezpiecznie dyskretne.”
Microsoft załatał problem od tego czasu, ale incydent pokazuje jak luki mogą istnieć nawet w powszechnie zaufanych systemach bezpieczeństwa.
Jak działała luka w rozwiązaniu Microsoft MFA
Luka wykorzystywała Hasło jednorazowe oparte na czasie (TOTP) mechanizm uwierzytelniania. TOTP generuje sześciocyfrowe kody używane jako drugi czynnik uwierzytelniania, zwykle za pośrednictwem aplikacji mobilnej lub tokena sprzętowego.
Atakującym udało się ominąć standardowe zabezpieczenia, szybko inicjując wiele jednoczesnych sesji logowania. Takie podejście pozwoliło im odgadnąć kody w wielu sesjach bez ograniczeń wynikających z limitów szybkości pojedynczej sesji.
Raport firmy Oasis Security szczegółowo opisał mechanikę ataku: „Dzięki szybkiemu tworzeniu nowych sesji i wyliczaniu kodów zespół badawczy wykazał bardzo wysoki wskaźnik prób, które szybko wyczerpałyby całkowitą liczbę opcji dla 6-cyfrowego kodu (1 000 000).” Zespół stwierdził, że metoda ta zapewniała 50% szans na sukces w ciągu około 70 minut.
Powiązane: Złośliwe oprogramowanie sterowane przez sztuczną inteligencję: w jaki sposób fałszywe aplikacje i kody CAPTCHA atakują użytkowników systemów Windows i macOS
Powagę luki dodatkowo zwiększa implementacja firmy Microsoft akceptowane kody TOTP do trzech minut — sześć razy dłużej niż standardowe w branży 30-sekundowe okno zalecane w sekcji Wytyczne RFC-6238 Według Oasis Security „Testy z logowaniem Microsoft wykazały tolerancję około 3 minut dla pojedynczy kod, przedłużający się o 2,5 minuty po jego wygaśnięciu, umożliwiający wysłanie 6 razy więcej prób.”
Harmonogram wykrywania i rozwiązywania
The luka została ujawniona firmie Microsoft w czerwcu 2024 r., po przeprowadzeniu przez firmę Oasis Security symulacji demonstrujących exploit. W odpowiedzi firma Microsoft przedstawiła dwuetapowy plan naprawczy.
4 lipca 2024 r. wprowadzono tymczasową poprawkę, która zmniejsza częstotliwość prób logowania dozwolonych na sesję. 9 października 2024 r. wprowadzono stałą poprawkę wprowadzającą bardziej rygorystyczne środki ograniczające szybkość, które tymczasowo blokują próby logowania na okres do 12 godzin w przypadku powtarzających się niepowodzeń.
Powiązane: Microsoft wprowadza FIDO2 i Uaktualnienia hasła do Authenticator
Firma Oasis Security pochwaliła szybkie działanie firmy Microsoft, ale podkreśliła znaczenie wyeliminowania podstawowych słabości systemów uwierzytelniania. Badacze stwierdzili: „Ta luka pokazuje, jak można wykorzystać nawet podstawowe systemy bezpieczeństwa, jeśli zabezpieczenia nie są odpowiednio wdrożone”.
Dlaczego ten atak był szczególnie niebezpieczny
Jednym z najbardziej niepokojących aspektów tej luki był jej ukryty charakter. Atak nie spowodował wygenerowania powiadomień dla właścicieli kont, dzięki czemu osoby atakujące mogły działać niezauważone. Jak wyjaśnili badacze: „W tym okresie właściciele kont tego nie robili otrzymywać powiadomienia o ogromnej liczbie nieudanych prób, przez co ta luka i technika ataku stają się niebezpiecznie dyskretne.”
Powiązane: Firma Microsoft ulepsza opcje aktualizacji systemu Windows, szczegóły Mandat usługi Azure MFA
Ta słaba widoczność oznaczała, że użytkownicy, szczególnie w środowiskach korporacyjnych, byli narażeni na zwiększone ryzyko. Nieautoryzowany dostęp do kont firmowych może skutkować naruszeniem danych, szpiegostwem lub bocznym ruchem w sieci, potencjalnie narażając na szwank całe systemy.
Szersze konsekwencje dla systemów uwierzytelniania
Usterka Microsoft MFA ponownie wywołała dyskusję na temat ograniczeń systemów uwierzytelniania typu Shared Secret, takich jak TOTP. Systemy te, choć szeroko stosowane, opierają się na statycznych mechanizmach sprawdzania poprawności, które można wykorzystać poprzez ataki typu brute-force.
Systemy uwierzytelniania oparte na współdzielonym tajemnicy niosą ze sobą nieodłączne luki w zabezpieczeniach, a organizacje muszą przyjmować aktualizacje i oceniać, czy starsze podejścia MFA są nadal odpowiednie.
Tradycyjne systemy MFA często raczej weryfikują urządzenia, zamiast zapewniać indywidualny użytkownik zostaje uwierzytelniony.
Powiązane: Wzrost liczby naruszeń kont Microsoft Azure budzi alarm wśród korporacji
Wnioski dla organizacji korzystających MFA
Ustalenia Oasis Security podkreślają znaczenie wdrożenia silnych zabezpieczeń wokół systemów MFA. W raporcie zaleca się kilka najlepszych praktyk ograniczających ryzyko:
Organizacje powinny włączyć alerty w czasie rzeczywistym, aby powiadamiać użytkowników o nieudanych próbach uwierzytelnienia. Ta funkcja zapewnia wczesne wykrywanie ataków typu brute-force i umożliwia użytkownikom podjęcie natychmiastowych działań, takich jak resetowanie haseł lub skontaktowanie się z pomocą techniczną.
Przejście na metody uwierzytelniania bez hasła, takie jak systemy oparte na kluczach kryptograficznych, to kolejny zalecany krok. Systemy te eliminują luki w zabezpieczeniach typu Share-Secret, zapewniając solidniejsze ramy bezpieczeństwa. Wreszcie organizacje powinny przeprowadzać regularne audyty bezpieczeństwa w celu identyfikacji i usunięcia luk w mechanizmach uwierzytelniania.
W swoim raporcie firma Oasis Security stwierdziła: „Chociaż MFA pozostaje istotną warstwą bezpieczeństwa, incydent ten pokazuje, że źle wdrożone systemy mogą stać się wektor ataku.”
Ten incydent doskonale przypomina o ewoluującej taktyce stosowanej przez cyberprzestępców oraz o ciągłych wyzwaniach związanych z zabezpieczaniem systemów uwierzytelniania na dużą skalę. Chociaż reakcja firmy Microsoft skutecznie załagodziła tę lukę, luka w zabezpieczeniach podkreśla znaczenie proaktywnych środków zapobiegających podobnym zdarzeniom w przyszłości.
