Исследователи выявили критическую уязвимость в системе многофакторной аутентификации (MFA) Microsoft Azure, позволяющую несанкционированный доступ к учетным записям пользователей менее чем за час. Эта уязвимость, обнаруженная Oasis Security, привела к потенциальному захвату более 400 миллионов учетных записей Microsoft 365, причем риски распространялись на Outlook, OneDrive, Teams и облачные службы Azure. Уязвимость возникла из-за отсутствия ограничения скорости неудачных попыток MFA, что позволяло злоумышленникам использовать систему, не предупреждая пользователей.
Критическая уязвимость в MFA Microsoft Azure подвергает риску 400 миллионов учетных записей
Идентифицированный метод обхода, получивший название «AuthQuake», позволил исследователям быстро создавать новые сеансы во время перебора кодов. Тал Хасон, инженер-исследователь компании Oasis, объяснил что этот метод включал одновременное выполнение множества попыток входа в систему, что быстро исчерпало возможности использования 6-значного кода. Атака оставалась скрытой, поскольку владельцы аккаунтов не получали уведомлений о подозрительной деятельности.
Уязвимость позволяла хакерам угадывать коды гораздо дольше, чем стандартный срок действия, рекомендованный RFC-6238 Internet Engineering Task Force. Обычно срок действия одноразовых паролей с указанием времени (TOTP) истекает через 30 секунд, но анализ Oasis показал, что коды Microsoft остаются действительными в течение примерно трех минут. Это значительно увеличило вероятность успешных догадок, предоставив злоумышленникам 3%-ную вероятность взлома кода за увеличенный период времени.
4 июля 2024 года Oasis проинформировала Microsoft об уязвимости, и хотя компания признала это в июне, постоянное исправление не было реализовано до 9 октября 2024 года. Решение включало более строгие ограничения скорости, которые сработали после определенного количества неудачных попыток. . Организациям рекомендуется повышать безопасность, используя приложения для проверки подлинности или методы без пароля, которые обеспечивают большую защиту от потенциальных атак.
Этот инцидент подчеркивает необходимость того, чтобы организации, использующие MFA, переняли передовой опыт. Эксперты рекомендуют внедрять оповещения о неудачных попытках аутентификации, что позволяет организациям заранее обнаруживать вредоносную активность. Регулярные проверки настроек безопасности жизненно важны для выявления текущих уязвимостей.
Кроме того, специалисты по безопасности подчеркивают важность последовательной смены паролей как часть надежной гигиены учетной записи. Скрытность атаки иллюстрирует, как MFA в случае взлома может перейти от важной меры безопасности к вектору атаки. Следовательно, эксперты выступают за переход к решениям для аутентификации без пароля, особенно для новых развертываний.
Различные организации, занимающиеся кибербезопасностью, продолжают извлекать уроки из этого инцидента, отмечая, что даже широко распространенные методы обеспечения безопасности при определенных обстоятельствах уязвимы. По мере продвижения расследования инцидента важность постоянной бдительности при реализации MFA остается очевидной.
Предоставленное изображение предоставлено: Эд Харди/Unsplash
Сообщение «Эта ошибка MFA сделала пользователей Office 365 открытыми для кибератак на несколько месяцев» впервые появилось на TechBriefly.
Source: Этот недостаток MFA сделал пользователей Office 365 открытыми для кибератак на несколько месяцев.
