Изследователи разбиха метод за многофакторно удостоверяване (MFA) в Microsoft Azure за около час поради критична уязвимост, която им позволи неоторизиран достъп до акаунта на даден потребител, включително имейли в Outlook, файлове в OneDrive, чатове в Teams, Azure Cloud и др.

Изследователите от Oasis Security откриха недостатъка, който е бил налице поради липсата на ограничение на скоростта за броя на опитите на някой да влезе с MFA и да се провали при опит за достъп до акаунт, разкриха те в публикация в блога си на 11 декември. Според тях недостатъкът излага повече от 400 милиона платени места в Microsoft 365 на потенциално превземане на акаунти.

При влизане в акаунт в Microsoft потребителят предоставя своя имейл и парола и след това избира предварително конфигуриран метод за MFA. В случая, използван от изследователите, те получават код от Microsoft чрез друга форма на комуникация, за да улеснят влизането.

Изследователите са постигнали заобикалянето, което са нарекли „AuthQuake“, чрез „бързо създаване на нови сесии и изброяване на кодове“, пише в публикацията Тал Хасон, инженер-изследовател от Oasis. Това им е позволило да демонстрират „много висока честота на опитите, която бързо би изчерпала общия брой опции за 6-цифрен код“, който е 1 милион, обяснява той.

„Казано по-просто – човек би могъл да изпълни много опити едновременно“, пише Хейсън. Освен това по време на многобройните неуспешни опити за влизане в системата собствениците на акаунти не са получили никакво предупреждение за тази дейност, „което прави тази уязвимост и техника за атака опасно слабо видими“, пише Хасон.

Oasis информира Microsoft за проблема, която призна съществуването му през юни и го отстрани окончателно до 9 октомври, казват изследователите. „Въпреки че конкретните подробности за промените са поверителни, можем да потвърдим, че Microsoft въведе много по-строг лимит на скоростта, който се задейства след определен брой неуспешни опити; строгият лимит продължава около половин ден“, пише Тал Хасон.

Достатъчно време за отгатване на MFA кода

Друг проблем, който е позволил заобикалянето на MFA, е, че наличното време, с което е разполагал нападателят, за да отгатне един код, е било с 2,5 минути по-дълго от препоръчителното време за еднократна парола, базирана на времето (TOTP), съгласно RFC-6238, препоръка на Internet Engineering Task Force (IETF) за прилагане на MFA удостоверяване.

RFC-6238 препоръчва кодът да изтича след 30 секунди; повечето приложения за MFA обаче предоставят кратък гратисен период и позволяват тези кодове да бъдат валидни по-дълго.

„Това означава, че един TOTP код може да бъде валиден повече от 30 секунди“, обяснява Хасон. „Тестовете на изследователския екип на Oasis Security Research с влизане в Microsoft показаха толеранс от около три минути за единичен код, който се удължава с 2,5 минути след изтичането му, което позволява изпращането на 6 пъти повече опити.“

Това допълнително време означава, че изследователите са имали 3% шанс да отгатнат правилно кода в рамките на удълженото време, обяснява Хасон. Злонамерен хакер, който се опитва да разбие кода, вероятно щеше да продължи и да стартира допълнителни сесии, докато достигне до валидно предположение, което изследователите продължиха да правят, без да се сблъскат с никакви ограничения, каза той.

След 24 сесии на опити за отгатване на кода, които биха отнели около 70 минути, злонамереният играч вече би преминал 50-процентния шанс да уцели валидния код. В своето изследване екипът на Oasis опита този метод няколко пъти и веднъж дори установи, че е отгатнал кода в началото на процеса, разкривайки колко бързо може да се заобиколи MFA.

Най-добри практики за безопасно MFA

Макар че MFA все още се счита за един от най-сигурните начини за защита на паролите за онлайн акаунти, изследването показва, че никоя система не е напълно защитена от атаки. Oasis препоръчва на организациите да продължат да използват или приложения за удостоверяване на автентичността, или силни методи без парола за защита на потребителските акаунти от злонамерени атаки.

Други най-добри практики включват една, която се препоръчва от години като част от основната хигиена на паролите: потребителите трябва често да сменят паролите на своите онлайн акаунти. Освен това всяка организация, която използва MFA за защита на акаунти, трябва да добави предупреждение за поща, за да уведомява потребителите за неуспешни опити за MFA, дори и да не ги уведомява за всеки неуспешен опит за влизане с парола – отбелязва Хасон.

Според Oasis последният съвет трябва да се прилага и за всяка организация, която вгражда MFA в система или приложение. Дизайнерите на MFA приложения също така трябва да гарантират, че включват ограничения на скоростта, които не позволяват безкрайни опити за влизане, и да заключват акаунта след определено време, за да ограничат успешните MFA атаки или заобикаляния.

Източник: DARKReading

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
24/01/2025

Инженер по ИИ е сред най-бъ...

Инженер по изкуствен интелект (ИИ) е...
24/01/2025

Шефът на НАТО бърза с внедр...

Световният икономически форум предложи поглед към...
21/01/2025

ИИ в киберсигурността: 20 г...

Изкуственият интелект се превърна в ключов...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!