Microsoft 多重身份验证 (MFA) 系统中的一个严重漏洞导致数百万帐户遭受未经授权的访问。该漏洞由 Oasis Security 发现,允许攻击者绕过 MFA,影响超过 4 亿 Office 365 付费用户。利用此弱点可以轻松访问 Outlook、OneDrive 和 Azure Cloud 等服务。微软已确认该问题并已实施修复。
微软的 MFA 漏洞导致数百万人遭受未经授权的访问
该漏洞与基于时间的一次性密码 (TOTP) 系统有关。攻击者可以利用不充分的速率限制机制,使他们能够重复猜测六位数代码。用户最多有三分钟的时间(明显长于 30 秒的标准间隔),在此期间这些代码仍然有效。这显着增加了成功攻击的可能性:攻击者可以通过启动多个会话在大约 70 分钟内实现超过 50% 的成功率。
在 博客文章 绿洲研究人员详细介绍了这些发现,详细介绍了他们的利用方法,他们将其称为“AuthQuake”。他们通过快速创建新会话和枚举代码来测试该缺陷,展示了高频率的同时尝试,可以快速耗尽可能的六位数字组合。这些策略是在没有用户干扰或警报的情况下执行的,使得攻击方法非常谨慎。
获悉该漏洞后,微软于 2024 年 7 月 4 日发布了临时补丁,随后于 2024 年 10 月 9 日发布了永久解决方案。后者集成了更严格的速率限制,减少了攻击者在给定时间范围内可以进行的尝试次数,加强针对此类漏洞的安全措施。
尽管这一具体缺陷已得到解决,但安全专家强调仍需保持警惕。对使用 MFA 的组织的建议包括对失败的身份验证尝试强制发出警报,并定期检查安全配置以识别潜在的漏洞。 Mimoto 首席执行官 Kris Bondi 强调了将 MFA 视为最低限度可接受的做法而不是最先进的安全措施的重要性。他表示,即使MFA正常运行,它也只是在给定时刻验证端点,不一定确认用户的身份。
Microsoft Teams 将停止在旧版本的 Windows 和 macOS 上运行
专家还建议不要依赖过时的 MFA 解决方案。 Sectigo 高级研究员 Jason Soroko 也表达了同样的观点,强调组织需要采用更新的补丁,并考虑在新的实施中转向无密码身份验证解决方案。
新兴的最佳实践包括集成邮件警报以通知用户 MFA 尝试不成功,同时确保 MFA 系统实施速率限制以防止无限期的登录尝试。在多次阻止潜在攻击者失败的尝试后,还敦促组织实施锁定帐户的措施。
特色图片来源: 埃德·哈迪/Unsplash