Изследователи разбиха метод за многофакторно удостоверяване (MFA) в Microsoft Azure за около час поради критична уязвимост, която им позволи неоторизиран достъп до акаунта на даден потребител, включително имейли в Outlook, файлове в OneDrive, чатове в Teams, Azure Cloud и др.
Изследователите от Oasis Security откриха недостатъка, който е бил налице поради липсата на ограничение на скоростта за броя на опитите на някой да влезе с MFA и да се провали при опит за достъп до акаунт, разкриха те в публикация в блога си на 11 декември. Според тях недостатъкът излага повече от 400 милиона платени места в Microsoft 365 на потенциално превземане на акаунти.
При влизане в акаунт в Microsoft потребителят предоставя своя имейл и парола и след това избира предварително конфигуриран метод за MFA. В случая, използван от изследователите, те получават код от Microsoft чрез друга форма на комуникация, за да улеснят влизането.
Изследователите са постигнали заобикалянето, което са нарекли „AuthQuake“, чрез „бързо създаване на нови сесии и изброяване на кодове“, пише в публикацията Тал Хасон, инженер-изследовател от Oasis. Това им е позволило да демонстрират „много висока честота на опитите, която бързо би изчерпала общия брой опции за 6-цифрен код“, който е 1 милион, обяснява той.
„Казано по-просто – човек би могъл да изпълни много опити едновременно“, пише Хейсън. Освен това по време на многобройните неуспешни опити за влизане в системата собствениците на акаунти не са получили никакво предупреждение за тази дейност, „което прави тази уязвимост и техника за атака опасно слабо видими“, пише Хасон.
Oasis информира Microsoft за проблема, която призна съществуването му през юни и го отстрани окончателно до 9 октомври, казват изследователите. „Въпреки че конкретните подробности за промените са поверителни, можем да потвърдим, че Microsoft въведе много по-строг лимит на скоростта, който се задейства след определен брой неуспешни опити; строгият лимит продължава около половин ден“, пише Тал Хасон.
Друг проблем, който е позволил заобикалянето на MFA, е, че наличното време, с което е разполагал нападателят, за да отгатне един код, е било с 2,5 минути по-дълго от препоръчителното време за еднократна парола, базирана на времето (TOTP), съгласно RFC-6238, препоръка на Internet Engineering Task Force (IETF) за прилагане на MFA удостоверяване.
RFC-6238 препоръчва кодът да изтича след 30 секунди; повечето приложения за MFA обаче предоставят кратък гратисен период и позволяват тези кодове да бъдат валидни по-дълго.
„Това означава, че един TOTP код може да бъде валиден повече от 30 секунди“, обяснява Хасон. „Тестовете на изследователския екип на Oasis Security Research с влизане в Microsoft показаха толеранс от около три минути за единичен код, който се удължава с 2,5 минути след изтичането му, което позволява изпращането на 6 пъти повече опити.“
Това допълнително време означава, че изследователите са имали 3% шанс да отгатнат правилно кода в рамките на удълженото време, обяснява Хасон. Злонамерен хакер, който се опитва да разбие кода, вероятно щеше да продължи и да стартира допълнителни сесии, докато достигне до валидно предположение, което изследователите продължиха да правят, без да се сблъскат с никакви ограничения, каза той.
След 24 сесии на опити за отгатване на кода, които биха отнели около 70 минути, злонамереният играч вече би преминал 50-процентния шанс да уцели валидния код. В своето изследване екипът на Oasis опита този метод няколко пъти и веднъж дори установи, че е отгатнал кода в началото на процеса, разкривайки колко бързо може да се заобиколи MFA.
Макар че MFA все още се счита за един от най-сигурните начини за защита на паролите за онлайн акаунти, изследването показва, че никоя система не е напълно защитена от атаки. Oasis препоръчва на организациите да продължат да използват или приложения за удостоверяване на автентичността, или силни методи без парола за защита на потребителските акаунти от злонамерени атаки.
Други най-добри практики включват една, която се препоръчва от години като част от основната хигиена на паролите: потребителите трябва често да сменят паролите на своите онлайн акаунти. Освен това всяка организация, която използва MFA за защита на акаунти, трябва да добави предупреждение за поща, за да уведомява потребителите за неуспешни опити за MFA, дори и да не ги уведомява за всеки неуспешен опит за влизане с парола – отбелязва Хасон.
Според Oasis последният съвет трябва да се прилага и за всяка организация, която вгражда MFA в система или приложение. Дизайнерите на MFA приложения също така трябва да гарантират, че включват ограничения на скоростта, които не позволяват безкрайни опити за влизане, и да заключват акаунта след определено време, за да ограничат успешните MFA атаки или заобикаляния.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.