ช่องโหว่ที่สำคัญในระบบ Multi-Factor Authentication (MFA) ของ Microsoft ทำให้บัญชีหลายล้านบัญชีถูกเข้าถึงโดยไม่ได้รับอนุญาต ข้อบกพร่องที่เปิดเผยโดยนักวิจัยที่ Oasis Security ใช้ประโยชน์จากจุดอ่อนในกระบวนการตรวจสอบสิทธิ์ ทำให้ผู้โจมตีสามารถดำเนินการโจมตีแบบเดรัจฉานอย่างลับๆ ได้
ช่องโหว่ที่เกี่ยวข้องกับการควบคุมการจำกัดอัตราไม่เพียงพอ ทำให้เกิดความเสี่ยงต่อข้อมูลที่ละเอียดอ่อนในบริการต่างๆ เช่น OneDrive, Teams และ Azure Cloud Oasis Security กล่าวว่า ว่า “เจ้าของบัญชีทำ ไม่ได้รับการแจ้งเตือนใด ๆ เกี่ยวกับความพยายามที่ล้มเหลวที่เกิดขึ้นตามมาจำนวนมาก ทำให้ช่องโหว่และเทคนิคการโจมตีนี้ต่ำจนเป็นอันตราย”
Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว แต่เหตุการณ์ดังกล่าวแสดงให้เห็นว่าช่องโหว่สามารถมีอยู่ได้อย่างไร ในระบบรักษาความปลอดภัยที่เชื่อถือได้อย่างกว้างขวาง
วิธีการ ข้อบกพร่อง MFA ของ Microsoft ใช้งานได้
ช่องโหว่นี้ใช้ประโยชน์จาก รหัสผ่านครั้งเดียวตามเวลาของ Microsoft (TOTP) กลไกการรับรองความถูกต้อง TOTP สร้างรหัสหกหลักที่ใช้เป็นปัจจัยการรับรองความถูกต้องที่สอง โดยทั่วไปผ่านแอปมือถือหรือโทเค็นฮาร์ดแวร์
ผู้โจมตีสามารถข้ามการป้องกันมาตรฐานโดยการเริ่มต้นหลายรายการอย่างรวดเร็ว เซสชันการเข้าสู่ระบบพร้อมกัน แนวทางนี้ช่วยให้พวกเขาสามารถเดารหัสได้ในหลายเซสชันโดยไม่ถูกจำกัดด้วยขีดจำกัดอัตราเซสชันเดียว
รายงานของ Oasis Security ให้รายละเอียดเกี่ยวกับกลไกของการโจมตี: “ทีมวิจัยสร้างเซสชันใหม่และแจกแจงโค้ดอย่างรวดเร็วโดยสร้างเซสชันใหม่อย่างรวดเร็ว แสดงให้เห็นถึงอัตราความพยายามที่สูงมากซึ่งจะทำให้จำนวนตัวเลือกทั้งหมดสำหรับรหัส 6 หลักหมดอย่างรวดเร็ว (1,000,000)”ทีมงานพบว่าวิธีนี้ทำให้มีโอกาสสำเร็จ 50% ภายในเวลาประมาณ 70 นาที
ที่เกี่ยวข้อง: มัลแวร์ที่ขับเคลื่อนด้วย AI: แอปปลอมและ CAPTCHA กำหนดเป้าหมายผู้ใช้ Windows และ macOS อย่างไร
การเพิ่มความรุนแรงของข้อบกพร่อง การใช้งานของ Microsoft ยอมรับรหัส TOTP สูงสุดสามนาที ซึ่งนานกว่ากรอบเวลา 30 วินาทีมาตรฐานอุตสาหกรรมที่แนะนำภายใต้ แนวทาง RFC-6238 จากข้อมูลของ Oasis Security “การทดสอบด้วยการลงชื่อเข้าใช้ Microsoft พบว่าใช้เวลาประมาณ 3 นาทีใน รหัสเดียวซึ่งขยายออกไป 2.5 นาทีหลังจากหมดอายุ ทำให้สามารถส่งความพยายามได้มากขึ้น 6 เท่า”
ไทม์ไลน์ของการค้นพบและการแก้ไข
ช่องโหว่คือ เปิดเผยต่อ Microsoft ในเดือนมิถุนายน 2024 หลังจากที่ Oasis Security ดำเนินการจำลองเพื่อสาธิตการหาประโยชน์ Microsoft ตอบสนองด้วยแผนการแก้ไขสองขั้นตอน
แพตช์ชั่วคราวถูกนำมาใช้ในวันที่ 4 กรกฎาคม 2024 ซึ่งลดความถี่ในการพยายามเข้าสู่ระบบต่อเซสชัน การแก้ไขแบบถาวรตามมาในวันที่ 9 ตุลาคม 2024 โดยนำเสนอมาตรการจำกัดอัตราที่เข้มงวดยิ่งขึ้น ซึ่งจะบล็อกการพยายามเข้าสู่ระบบชั่วคราวนานสูงสุด 12 ชั่วโมงหลังจากเกิดข้อผิดพลาดซ้ำแล้วซ้ำอีก
ที่เกี่ยวข้อง: Microsoft เปิดตัว FIDO2 และ การอัปเกรด Passkey เป็น Authenticator
Oasis Security ยกย่องการดำเนินการที่รวดเร็วของ Microsoft แต่เน้นย้ำถึงความสำคัญของการแก้ไขจุดอ่อนพื้นฐานในระบบการตรวจสอบความถูกต้อง นักวิจัยกล่าวว่า “ช่องโหว่นี้เน้นย้ำว่าแม้แต่ระบบรักษาความปลอดภัยพื้นฐานก็สามารถถูกนำไปใช้ประโยชน์ได้อย่างไร เมื่อการป้องกันไม่ได้รับการปฏิบัติอย่างถูกต้อง”
เหตุใดการโจมตีนี้จึงเป็นอันตรายอย่างยิ่ง
ลักษณะที่น่าตกใจที่สุดประการหนึ่งของช่องโหว่นี้คือลักษณะการซ่อนตัว การโจมตีดังกล่าวไม่ได้กระตุ้นการแจ้งเตือนสำหรับเจ้าของบัญชี ทำให้ผู้โจมตีดำเนินการไม่ถูกตรวจพบ ดังที่นักวิจัยอธิบายว่า “ในช่วงเวลานี้ เจ้าของบัญชีไม่ได้รับการแจ้งเตือนใดๆ ความพยายามที่ล้มเหลวเป็นผลสืบเนื่องจำนวนมาก ทำให้ช่องโหว่และเทคนิคการโจมตีนี้ต่ำจนเป็นอันตราย”
ที่เกี่ยวข้อง: Microsoft ปรับปรุงตัวเลือกการอัปเดต Windows รายละเอียดคำสั่ง MFA ของ Azure
การมองเห็นต่ำนี้หมายความว่าผู้ใช้ โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมขององค์กร มีความเสี่ยงสูง การเข้าถึงบัญชีองค์กรโดยไม่ได้รับอนุญาตอาจส่งผลให้เกิดการละเมิดข้อมูล การจารกรรม หรือการเคลื่อนไหวด้านข้างภายในเครือข่าย ซึ่งอาจส่งผลต่อระบบทั้งหมด
ผลกระทบในวงกว้างสำหรับระบบการตรวจสอบสิทธิ์
ข้อบกพร่องของ Microsoft MFA ได้จุดชนวนการถกเถียงเกี่ยวกับข้อจำกัดของระบบการตรวจสอบสิทธิ์ที่เป็นความลับร่วมกัน เช่น TOTP แม้ว่าระบบเหล่านี้จะใช้กันอย่างแพร่หลาย แต่ก็อาศัยกลไกการตรวจสอบความถูกต้องแบบคงที่ซึ่งสามารถถูกโจมตีผ่านการโจมตีแบบ brute-force ได้
ระบบการตรวจสอบความถูกต้องที่ใช้ความลับร่วมกันนั้นมีช่องโหว่โดยธรรมชาติ และองค์กรจำเป็นต้องนำการอัปเดตมาใช้และประเมินว่าแนวทาง MFA แบบเดิมยังคงเหมาะสมหรือไม่
ระบบ MFA แบบดั้งเดิมมักจะตรวจสอบอุปกรณ์มากกว่าที่จะรับประกัน ผู้ใช้แต่ละรายได้รับการรับรองความถูกต้องแล้ว
ที่เกี่ยวข้อง: การเพิ่มขึ้นของบัญชี Microsoft Azure ที่ประนีประนอมทำให้เกิดความกังวลในหมู่องค์กร
บทเรียนสำหรับ องค์กรที่ใช้ MFA
ข้อค้นพบของ Oasis Security เน้นย้ำถึงความสำคัญของการดำเนินการป้องกันที่แข็งแกร่งเกี่ยวกับระบบ MFA รายงานแนะนำแนวทางปฏิบัติที่ดีที่สุดหลายประการเพื่อลดความเสี่ยง:
องค์กรควรเปิดใช้การแจ้งเตือนแบบเรียลไทม์เพื่อแจ้งให้ผู้ใช้ทราบเมื่อพยายามตรวจสอบสิทธิ์ไม่สำเร็จ ความสามารถนี้ให้การตรวจจับการโจมตีแบบ brute-force ได้ตั้งแต่เนิ่นๆ และช่วยให้ผู้ใช้ดำเนินการได้ทันที เช่น การรีเซ็ตรหัสผ่านหรือติดต่อฝ่ายสนับสนุน
การเปลี่ยนไปใช้วิธีตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน เช่น ระบบที่ใช้คีย์เข้ารหัสลับ เป็นอีกขั้นตอนที่แนะนำ ระบบเหล่านี้กำจัดช่องโหว่ที่เป็นความลับร่วมกัน ทำให้เกิดกรอบการทำงานด้านความปลอดภัยที่แข็งแกร่งยิ่งขึ้น สุดท้ายนี้ องค์กรต่างๆ ควรดำเนินการตรวจสอบความปลอดภัยเป็นประจำเพื่อระบุและแก้ไขช่องโหว่ในกลไกการตรวจสอบสิทธิ์
ในรายงานของพวกเขา Oasis Security สรุปว่า”แม้ว่า MFA ยังคงเป็นชั้นการรักษาความปลอดภัยที่สำคัญ แต่เหตุการณ์นี้แสดงให้เห็นว่าระบบที่ใช้งานไม่ดีสามารถกลายเป็น เวกเตอร์การโจมตี”
เหตุการณ์นี้ทำหน้าที่เป็นเครื่องเตือนใจอันทรงพลังถึงกลยุทธ์ที่เปลี่ยนแปลงไปซึ่งผู้โจมตีทางไซเบอร์ใช้ และความท้าทายอย่างต่อเนื่องในการรักษาความปลอดภัยระบบการตรวจสอบสิทธิ์ในวงกว้าง ในขณะที่การตอบสนองของ Microsoft ช่วยลดปัญหา ข้อบกพร่อง ช่องโหว่เน้นย้ำถึงความสำคัญของมาตรการเชิงรุกเพื่อป้องกันเหตุการณ์ที่คล้ายกันในอนาคต
