Onderzoekers op het gebied van cyberbeveiliging hebben een ‘kritiek’ beveiligingsprobleem opgemerkt in de multi-factor authenticatie (MFA)-implementatie van Microsoft, waardoor een aanvaller de bescherming triviaal kan omzeilen en ongeoorloofde toegang kan krijgen tot de account van een slachtoffer.
“De bypass was eenvoudig: het duurde ongeveer een uur om uit te voeren, vereiste geen interactie van de gebruiker en genereerde geen enkele melding of gaf de accounthouder geen enkele indicatie van problemen”, zeiden Oasis Security-onderzoekers Elad Luz en Tal Hason in een rapport gedeeld met Het hackernieuws.
Na verantwoorde openbaarmaking kreeg de kwestie de codenaam AuthQuake – werd in oktober 2024 door Microsoft aangepakt.
Hoewel de Windows-maker verschillende manieren ondersteunt om gebruikers via MFA te authenticeren, bestaat er één methode uit het invoeren van een zescijferige code vanuit een authenticator-app nadat de inloggegevens zijn opgegeven. Er zijn maximaal 10 opeenvolgende mislukte pogingen toegestaan voor één sessie.
De door Oasis geïdentificeerde kwetsbaarheid betreft in de kern een gebrek aan snelheidslimiet en een verlengd tijdsinterval bij het verstrekken en valideren van deze eenmalige codes, waardoor een kwaadwillende actor snel nieuwe sessies kan voortbrengen en alle mogelijke permutaties van de code kan opsommen ( dat wil zeggen één miljoen) zonder het slachtoffer zelfs maar te waarschuwen voor de mislukte inlogpogingen.
Het is de moeite waard om op dit punt op te merken dat dergelijke codes op tijd gebaseerd zijn, ook wel op tijd gebaseerde eenmalige wachtwoorden (TOTP’s) genoemd, waarbij ze worden gegenereerd met behulp van de huidige tijd als een bron van willekeur. Bovendien blijven de codes slechts ongeveer 30 seconden actief, waarna ze worden geroteerd.
“Vanwege mogelijke tijdsverschillen en vertragingen tussen de validator en de gebruiker wordt de validator echter aangemoedigd om een groter tijdvenster voor de code te accepteren”, benadrukt Oasis. “Kort gezegd betekent dit dat een enkele TOTP-code langer dan 30 seconden geldig kan zijn.”
In het geval van Microsoft ontdekte het in New York gevestigde bedrijf dat de code maar liefst drie minuten geldig was, waardoor de deur werd geopend naar een scenario waarin een aanvaller zou kunnen profiteren van het langere tijdvenster om meer brute-force-pogingen te ondernemen. tegelijkertijd de zescijferige code te kraken.
“Het introduceren van snelheidslimieten en ervoor zorgen dat ze op de juiste manier worden geïmplementeerd, is van cruciaal belang”, aldus de onderzoekers. “Tarieflimieten zijn misschien niet voldoende; daaruit voortvloeiende mislukte pogingen zouden een accountblokkering moeten veroorzaken.”
Microsoft heeft sindsdien een strengere tarieflimiet afgedwongen die wordt geactiveerd na een aantal mislukte pogingen. Oasis zei ook dat de nieuwe limiet ongeveer een halve dag duurt.
“De recente ontdekking van de AuthQuake-kwetsbaarheid in Microsoft’s Multi-Factor Authentication (MFA) herinnert ons eraan dat beveiliging niet alleen gaat over het inzetten van MFA – het moet ook correct worden geconfigureerd”, zegt James Scobey, Chief Information Security Officer bij Keeper Security. zei in een verklaring.
“Hoewel MFA ongetwijfeld een krachtige verdediging is, hangt de effectiviteit ervan af van belangrijke instellingen, zoals snelheidsbeperking om brute force-pogingen te dwarsbomen en gebruikersmeldingen bij mislukte inlogpogingen. Deze functies zijn niet optioneel; ze zijn van cruciaal belang voor het verbeteren van de zichtbaarheid, waardoor gebruikers vroegtijdig verdachte activiteiten opmerken en snel reageren.”