Siber güvenlik araştırmacıları, Microsoft’un çok faktörlü kimlik doğrulama (MFA) uygulamasında, bir saldırganın korumayı önemsiz bir şekilde atlatmasına ve kurbanın hesabına yetkisiz erişim elde etmesine olanak tanıyan “kritik” bir güvenlik açığını işaretledi.
Oasis Güvenlik araştırmacıları Elad Luz ve Tal Hason, “Baypas basitti: yürütülmesi yaklaşık bir saat sürdü, hiçbir kullanıcı etkileşimi gerektirmedi ve herhangi bir bildirim oluşturmadı veya hesap sahibine herhangi bir sorun belirtisi sunmadı.” söz konusu The Hacker News ile paylaşılan bir raporda.
Sorumlu açıklamanın ardından sorun kod adıyla anıldı AuthQuake – Ekim 2024’te Microsoft tarafından ele alındı.
Windows yapımcısı desteklerken kullanıcıların kimliğini doğrulamanın çeşitli yolları MFA aracılığıyla yöntemlerden biri, kimlik bilgilerini sağladıktan sonra bir kimlik doğrulayıcı uygulamasından altı basamaklı bir kodun girilmesini içerir. Tek bir oturum için en fazla 10 ardışık başarısız denemeye izin verilir.
Oasis tarafından tanımlanan güvenlik açığı, özünde, hız sınırı eksikliği ve bu tek seferlik kodların sağlanması ve doğrulanması sırasında uzun bir zaman aralığı ile ilgilidir, böylece kötü niyetli bir aktörün hızlı bir şekilde yeni oturumlar oluşturmasına ve kodun tüm olası permütasyonlarını sıralamasına olanak tanır. yani bir milyon) başarısız giriş denemeleri konusunda kurbanı uyarmadan bile.
Bu noktada, zamana dayalı tek kullanımlık şifreler (TOTP’ler) olarak da adlandırılan bu tür kodların zamana bağlı olduğunu ve bir rastgelelik kaynağı olarak mevcut zamanı kullanarak oluşturulduklarını belirtmekte fayda var. Dahası, kodlar yalnızca yaklaşık 30 saniyelik bir süre boyunca etkin kalır ve sonrasında dönüşümlü olarak kullanılır.
Oasis, “Ancak, doğrulayıcı ile kullanıcı arasındaki potansiyel zaman farklılıkları ve gecikmeler nedeniyle, doğrulayıcının kod için daha büyük bir zaman aralığını kabul etmesi teşvik edilmektedir.” diye belirtti. “Kısacası bu, tek bir TOTP kodunun 30 saniyeden daha uzun süre geçerli olabileceği anlamına geliyor.”
Microsoft örneğinde New York merkezli şirket, kodun 3 dakikaya kadar geçerli olduğunu tespit etti ve böylece bir saldırganın daha fazla kaba kuvvet girişimi başlatmak için uzatılmış zaman aralığından yararlanabileceği bir senaryonun kapısını açtı. altı haneli kodu kırmak için aynı anda.
Araştırmacılar, “Oran limitlerinin getirilmesi ve bunların düzgün bir şekilde uygulandığından emin olunması çok önemli” dedi. “Ayrıca oran sınırları yeterli olmayabilir; birbirini takip eden başarısız girişimler hesabın kilitlenmesini tetiklemelidir.”
Microsoft, o zamandan beri, bir dizi başarısız denemeden sonra tetiklenen daha katı bir hız sınırı uyguladı. Oasis ayrıca yeni sınırın yaklaşık yarım gün sürdüğünü söyledi.
Keeper Security’nin bilgi güvenliği sorumlusu James Scobey, “Microsoft’un Çok Faktörlü Kimlik Doğrulamasında (MFA) AuthQuake güvenlik açığının yakın zamanda keşfedilmesi, güvenliğin yalnızca MFA dağıtımıyla ilgili olmadığını, aynı zamanda doğru şekilde yapılandırılması gerektiğini de hatırlatıyor” dedi. bir açıklamada söyledi.
“MFA şüphesiz güçlü bir savunma olsa da, etkinliği kaba kuvvet girişimlerini engellemek için hız sınırlaması ve başarısız oturum açma girişimleri için kullanıcı bildirimleri gibi temel ayarlara bağlıdır. Bu özellikler isteğe bağlı değildir; görünürlüğü artırmak için kritik öneme sahiptirler ve kullanıcılara Şüpheli etkinlikleri erken tespit edin ve hızlı bir şekilde yanıt verin.”
