该公司的登录失败率限制存在一个关键漏洞,允许未经授权访问用户账户,包括 Outlook 电子邮件、OneDrive 文件、Teams 聊天记录、Azure 云等。
研究人员在大约一小时内就破解了微软Azure的多因素身份验证(MFA)方法,因为该方法存在一个关键漏洞,允许他们未经授权访问用户的账户,包括Outlook电子邮件、OneDrive文件、Teams聊天、Azure云等。 Oasis Security公司的研究人员在12月11日的一篇博文中透露,他们发现该漏洞的原因是,在试图访问账户时,缺乏对MFA登录失败次数的速率限制。 他们说,这个漏洞使4亿多个付费的微软365账户暴露在潜在的账户接管中。 在登录微软账户时,用户提供电子邮件和密码,然后选择预先配置的MFA方法。 在研究人员使用的情况下,微软会通过另一种通信方式向用户提供一个代码,以方便用户登录。
Oasis 研究工程师塔尔-哈森(Tal Hason)在帖子中写道:”研究人员通过’快速创建新会话和枚举代码’实现了旁路,他们称之为’AuthQuake’。 他解释说,这使他们能够演示 “非常高的尝试率,可以迅速耗尽 6 位代码的选项总数”,即 100 万个。”简单地说,一个人可以同时执行多次尝试,”哈森写道。 此外,在多次尝试登录失败期间,账户所有者并没有收到任何关于该活动的警报,”这使得该漏洞和攻击技术变得非常低调,”哈森写道。 相关链接:在网络安全防御中培养黑客思维 Oasis将该问题告知了微软,微软在6月份承认了该问题的存在,并在10月9日之前对其进行了永久修复,研究人员说。 “Hason写道:”虽然更改的具体细节是保密的,但我们可以确认,微软引入了更严格的速率限制,该限制在尝试失败若干次后生效;严格的限制持续时间约为半天。
有充足的时间猜测 MFA 密码 造成 MFA 绕过的另一个问题是,根据互联网工程任务组(IETF)关于实施 MFA 身份验证的建议 RFC-6238,攻击者猜测单个密码的可用时间比基于时间的一次性密码(TOTP)的建议时间长 2.5 分钟。
RFC-6238 建议密码在 30 秒后失效;然而,大多数 MFA 应用程序都提供了较短的宽限期,允许这些密码的有效期更长。”这意味着单个 TOTP 密码的有效期可能超过 30 秒,”Hason 解释说。 “Oasis安全研究团队对微软登录进行的测试显示,单个代码的容许时间约为3分钟,过期后延长2.5分钟,允许发送6倍以上的尝试。
哈森解释说,这额外的时间意味着研究人员有 3% 的机会在延长的时间框架内正确猜出代码。 他说,试图破解代码的恶意行为者可能会继续运行更多的会话,直到猜中有效代码为止,而研究人员却没有遇到任何限制。 在尝试猜测代码的 24 个会话(大约需要 70 分钟)之后,恶意行为者猜中有效代码的几率已经超过了 50%。 在研究中,Oasis 团队多次尝试这种方法,有一次甚至发现他们在过程的早期就猜到了密码,这暴露了 MFA 被绕过的速度有多快。 安全 MFA 的最佳实践 虽然 MFA 仍被认为是保护在线账户密码最安全的方法之一,但研究表明,没有一个系统能完全防止攻击。 Oasis 建议企业继续使用验证器应用程序或强大的无密码方法来保护用户账户免受恶意攻击。
其他最佳实践还包括多年来一直被推荐的基本密码卫生方法:用户应经常更改在线账户的密码。 此外,任何使用 MFA 保护账户的组织都应添加邮件提醒功能,在 MFA 尝试失败时通知用户,即使他们不会在每次密码登录尝试失败时都通知用户,Hason 指出。 Oasis 认为,后一条建议也应适用于在系统或应用程序中构建 MFA 的任何组织。 MFA 应用程序的设计者还应确保它们包含速率限制,不允许无限次尝试登录,并在一定时间后锁定账户,以限制成功的 MFA 攻击或绕过。
信息来源:https://www.darkreading.com/cyberattacks-data-breaches/researchers-crack-microsoft-azure-mfa-hour
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件