AuthQuake – Microsoft MFA megkerülése
Az Oasis Security kutatócsoportja kritikus sérülékenységeket fedezett fel a Microsoft többfaktoros hitelesítés (MFA) implementációjában, amely lehetővé teszi a támadók számára, hogy megkerüljék azt, és jogosulatlanul hozzáférjenek a felhasználói fiókhoz, beleértve többek között az Outlook e-maileket, a OneDrive fájlokat, a Teams csevegéseket, az Azure Cloudot. Az Oasis Security kutatói fedezték fel a hibát, ami lényegében az volt, hogy nem volt megszabva az arra vonatkozó rate limit, hogy hányszor próbálkozhat valaki MFA-val bejelentkezni egy fiókba sikertelenül. A Microsoftnak több mint 400 millió Office 365 előfizetése van, így ennek a sérülékenységnek a következményei messzire nyúlnak. Körülbelül egy órát vett igénybe a kutatóknak, hogy felhasználói beavatkozás nélkül megkerüljék az MFA védelmet, mindezt úgy, hogy nem generáltak semmilyen értesítést, így a fiók tulajdonosának sem jelzett a Microsoft rendszere.
Amikor a felhasználók először érkeznek a bejelentkezési oldalra, egy munkamenet azonosítót kapnak. Az érvényes e-mail cím és jelszó beírása után a felhasználókat további hitelesítésre kérik, a Microsoft számos MFA-módszert támogat, beleértve a hitelesítő alkalmazásokat is. Egy ilyen alkalmazás használatával a felhasználók beírják a 6 számjegyű kódot a hitelesítés befejezéséhez. Egy munkamenetben legfeljebb 10 sikertelen próbálkozás volt megengedett. Az új munkamenetek gyors létrehozásával és a kódok enumerálásával az Oasis kutatócsoportja nagyon magas próbálkozási arányt mutatott ki, amely gyorsan kimeríti a 6 számjegyű kód összes lehetőségét (ami összesen 1 millió). Egyszerűen fogalmazva – egyszerre sok kísérletet lehetett végrehajtani. Ezalatt a fiókok tulajdonosai nem kaptak semmilyen figyelmeztetést a sikertelen próbálkozások hatalmas számáról.
Bár a változások konkrét részletei bizalmasak, azt megerősítette az Oasis Security, hogy a Microsoft sokkal szigorúbb rate limit-et vezetett be, amely több sikertelen próbálkozás után lép életbe, a szigorú korlátozás körülbelül fél napig tart.
Irányelvek az MFA-t használó szervezetek számára:
- Az MFA engedélyezése: Az MFA engedélyezése továbbra is kritikus kiberbiztonsági intézkedés. Javasolt Authenticator alkalmazás vagy erősebb jelszó nélküli módszer használata.
- A kiszivárgott hitelesítő adatok figyelésével, és rendszeres jelszócsere.: Az MFA alapvetően még mindig megvédheti a felhasználót, ha a hitelesítő adatai veszélybe kerülnek.
- E-mail riasztást beállítása a sikertelen MFA hitelesítéshez: A rossz jelszavas bejelentkezések figyelése valószínűleg nagy zajt kelt, viszont a sikertelen MFA kódokra való szűrése ezt lecsökkenti azokra az esetekre, amikor a felhasználó helyes jelszóval rendelkezik. A riasztásokat alapesetben a fiók tulajdonosának kell megkapnia, aki ellenőrizni tudja, hogy a bejelentkezési kísérleteket ő tette-e vagy sem, és így szükség esetén azonnal intézkedhet.
