O vulnerabilitate critică a sistemului de autentificare multifactor (MFA) Microsoft a lăsat milioane de conturi expuse accesului neautorizat. Defectul, dezvăluit de cercetătorii de la Oasis Security, a exploatat punctele slabe ale procesului de autentificare, permițând atacatorilor să execute atacuri furtive cu forță brută.
Vulnerabilitatea, care implică controale insuficiente de limitare a ratei, a riscat date sensibile în servicii precum OneDrive, Teams și Azure Cloud. Oasis Security spune că „proprietarii de conturi au făcut nu primesc nicio alertă cu privire la numărul masiv de încercări eșuate consecutive, ceea ce face ca această vulnerabilitate și tehnică de atac să fie extrem de scăzute.”
Microsoft a corectat de atunci problema, dar incidentul arată cum pot exista vulnerabilități chiar și în sistemele de securitate de încredere.
Cum a funcționat defectul Microsoft MFA
Vulnerabilitatea a exploatat Mecanism de autentificare One-Time Password (TOTP) . TOTP-urile generează coduri din șase cifre utilizate ca al doilea factor de autentificare, de obicei printr-o aplicație mobilă sau un token hardware.
Atacatorii au reușit să ocolească protecțiile standard inițiind rapid mai multe sesiuni de conectare simultane. Această abordare le-a permis să ghicească coduri în numeroase sesiuni fără a fi restricționați de limitele ratei unei singure sesiuni.
Raportul Oasis Security a detaliat mecanismele atacului: „Prin crearea rapidă de noi sesiuni și enumerarea codurilor, echipa de cercetare a demonstrat o rată foarte mare de încercări care ar epuiza rapid numărul total de opțiuni pentru un cod de 6 cifre (1.000.000).” Echipa a descoperit că această metodă a permis o 50% șanse de succes în aproximativ 70 de minute.
Legate: Malware bazat pe inteligența artificială: cum vizează aplicațiile false și CAPTCHA-urile utilizatorilor Windows și macOS
Adăugarea la de severitatea defectului, implementarea Microsoft a acceptat codurile TOTP timp de până la trei minute — de șase ori mai mult decât fereastra standard de 30 de secunde recomandată în Liniul directoare RFC-6238 Conform Oasis Security, „Testarea cu conectarea Microsoft a arătat o toleranță de aproximativ 3 minute pentru a cod unic, care se extinde cu 2,5 minute după expirarea acestuia, permițând trimiterea de 6 ori mai multe încercări.”
Cronologie de descoperire și rezoluție
Vulnerabilitatea a fost dezvăluită Microsoft în iunie 2024, după ce Oasis Security a efectuat simulări care demonstrează exploit. Microsoft a răspuns cu un plan de remediere în doi pași.
Un patch temporar a fost implementat pe 4 iulie 2024, reducând frecvența încercărilor de conectare permise pe sesiune. A urmat o remediere permanentă pe 9 octombrie 2024, introducând măsuri mai stricte de limitare a ratei care blochează temporar încercările de conectare timp de până la 12 ore după eșecuri repetate.
Legate: Microsoft introduce FIDO2 și Actualizări de cheie de acces la Authenticator
Oasis Security a lăudat acțiunea promptă a Microsoft, dar a subliniat importanța abordării deficiențelor fundamentale în sisteme de autentificare. Cercetătorii au declarat: „Această vulnerabilitate evidențiază modul în care chiar și sistemele de securitate fundamentale pot fi exploatate atunci când măsurile de protecție nu sunt implementate corespunzător.”
De ce acest atac a fost deosebit de periculos
Unul dintre cele mai alarmante aspecte ale acestei vulnerabilități a fost caracterul ei ascuns. Atacul nu a declanșat notificări pentru proprietarii de cont, permițând atacatorilor să opereze nedetectați a explicat: „În această perioadă, proprietarii de conturi nu au primit nicio alertă cu privire la numărul masiv de încercări eșuate consecutive, ceea ce face ca această vulnerabilitate și tehnică de atac să fie extrem de scăzute.”
Legate: Microsoft îmbunătățește opțiunile de actualizare Windows, detaliază mandatul Azure MFA
Această vizibilitate scăzută a însemnat că utilizatorii, în special în mediile corporative, erau expuși unui risc crescut. Accesul neautorizat la conturile de întreprindere poate duce la încălcări ale datelor, spionaj sau mișcare laterală în cadrul rețelelor, putând compromite întregi sisteme.
Implicații mai largi pentru sistemele de autentificare
Defectul Microsoft MFA a reaprins discuțiile despre limitările sistemelor de autentificare secrete partajate precum TOTP-urile. Aceste sisteme, deși sunt utilizate pe scară largă, se bazează pe mecanisme de validare statică care pot fi exploatate prin atacuri de forță brută.
Sistemele de autentificare bazate pe secrete partajate poartă vulnerabilități inerente, iar organizațiile trebuie să adopte actualizări și să evalueze dacă abordările MFA vechi sunt încă potrivite.
Sistemele MFA tradiționale validează adesea dispozitivele în loc să asigure utilizatorul individual este autentificat.
Legate: Creșterea compromisurilor contului Microsoft Azure ridică alarma printre Corporații
Lecții pentru organizațiile care folosesc MFA
Descoperirile Oasis Security subliniază importanța implementării unor măsuri de protecție puternice în jurul sistemelor MFA. Raportul recomandă câteva bune practici pentru a atenua riscurile:
Organizațiile ar trebui să activeze alerte în timp real pentru a notifica utilizatorilor încercările eșuate de autentificare. Această capacitate oferă detectarea timpurie a atacurilor cu forță brută și permite utilizatorilor să ia măsuri imediate, cum ar fi resetarea parolelor sau contactarea asistenței.
Tranziția la metode de autentificare fără parolă, cum ar fi sistemele bazate pe chei criptografice, este un alt pas recomandat. Aceste sisteme elimină vulnerabilitățile secrete partajate, oferind un cadru de securitate mai robust. În cele din urmă, organizațiile ar trebui să efectueze audituri de securitate regulate pentru a identifica și aborda vulnerabilitățile din mecanismele de autentificare.
În raportul lor, Oasis Security a concluzionat: „În timp ce MFA rămâne un nivel vital de securitate, acest incident ilustrează faptul că sistemele prost implementate pot deveni un vector de atac.”
Acest incident servește ca o reamintire puternică a tacticilor în evoluție utilizate de atacatorii cibernetici și a provocărilor continue de securizare. sisteme de autentificare la scară, Deși răspunsul Microsoft a atenuat eficient defectul, vulnerabilitatea evidențiază importanța măsurilor proactive pentru a preveni incidente similare în viitor.
