Araştırmacılar, Outlook e-postaları, OneDrive dosyaları, Teams sohbetleri, Azure Bulut ve daha fazlası dahil olmak üzere bir kullanıcının hesabına yetkisiz erişime izin veren kritik bir güvenlik açığı nedeniyle, çok faktörlü kimlik doğrulamaya (MFA) yönelik bir Microsoft Azure yöntemini yaklaşık bir saat içinde kırdılar.
Oasis Security’deki araştırmacılar, birinin MFA’da oturum açma girişiminde bulunabileceği ve bir hesaba erişmeye çalışırken başarısız olabileceği oran sınırının olmaması nedeniyle mevcut olan kusuru keşfettiler. bir blog yazısında ortaya çıktı 11 Aralık’ta. Bu kusurun, 400 milyondan fazla ücretli Microsoft 365 lisansını potansiyel hesap devralma riskine maruz bıraktığını söylediler.
Kullanıcı bir Microsoft hesabında oturum açarken e-posta adresini ve parolasını girer ve ardından önceden yapılandırılmış bir e-posta seçer. MFA yöntemi. Araştırmacıların kullandığı durumda, oturum açmayı kolaylaştırmak için Microsoft tarafından başka bir iletişim biçimi aracılığıyla kendilerine bir kod veriliyor.
Oasis araştırma mühendisi Tal Hason, gönderisinde araştırmacıların “AuthQuake” adını verdikleri bypass’ı “hızla yeni oturumlar oluşturarak ve kodları numaralandırarak” başardıklarını yazdı. Bunun onlara “6 basamaklı bir kod için toplam seçenek sayısını (1 milyon) hızlı bir şekilde tüketecek çok yüksek sayıda deneme yapma olanağı” sağladığını açıkladı.
Hason, “Basitçe söylemek gerekirse, aynı anda birçok deneme yapılabilir” diye yazdı. Üstelik Hason, çok sayıda başarısız oturum açma girişimi sırasında hesap sahiplerinin etkinlik hakkında herhangi bir uyarı almadığını, bunun da “bu güvenlik açığını ve saldırı tekniğini tehlikeli derecede düşük profilli hale getirdiğini” yazdı.
Araştırmacılar, Oasis’in Microsoft’a sorun hakkında bilgi verdiğini ve bunun Haziran ayında varlığını kabul ettiğini ve 9 Ekim’e kadar sorunun kalıcı olarak çözüldüğünü söyledi. Hason, “Değişikliklerin belirli ayrıntıları gizli olsa da, Microsoft’un bir dizi başarısız denemeden sonra devreye giren çok daha katı bir hız sınırı getirdiğini doğrulayabiliriz; katı sınır yaklaşık yarım gün sürer” diye yazdı.
MFA Kodunu Tahmin Etmek İçin Bol Zaman
izin veren diğer bir konu MFA bypass’ı saldırganın tek bir kodu tahmin etmesi gereken zaman aralığının, zamana dayalı tek kullanımlık şifre (TOTP) için önerilen zaman diliminden 2,5 dakika daha uzun olmasıydı. RFC-6238MFA kimlik doğrulamasının uygulanmasına yönelik İnternet Mühendisliği Görev Gücü (IETF) önerisi.
RFC-6238, bir kodun süresinin 30 saniye sonra sona ermesini önerir; ancak çoğu MFA uygulaması kısa bir yetkisiz kullanım süresi sağlar ve bu kodların daha uzun süre geçerli olmasına olanak tanır.
Hason, “Bu, tek bir TOTP kodunun 30 saniyeden daha uzun süre geçerli olabileceği anlamına geliyor” diye açıkladı. “Oasis Güvenlik Araştırma ekibinin Microsoft oturum açma ile yaptığı testler, tek bir kod için yaklaşık üç dakikalık bir tolerans gösterdi; bu, süresinin dolmasına 2,5 dakika uzadı ve 6 kat daha fazla deneme gönderilmesine olanak sağladı.”
Hason, bu ekstra sürenin, araştırmacıların uzatılmış zaman dilimi içinde kodu doğru tahmin etme şansının %3 olduğu anlamına geldiğini açıkladı. Kodu kırmaya çalışan kötü niyetli bir aktörün, geçerli bir tahminde bulununcaya kadar daha fazla oturum başlatacağını ve araştırmacıların herhangi bir sınırlamayla karşılaşmadan bunu yapmaya devam edeceğini söyledi.
Yaklaşık 70 dakika sürecek olan 24 oturum boyunca kodu tahmin etmeye çalıştıktan sonra, kötü niyetli bir aktör geçerli kodu bulma şansını zaten %50’yi geçmiş olacaktır. Oasis ekibi araştırmalarında bu yöntemi birkaç kez denedi ve hatta bir keresinde kodu sürecin başında tahmin ettiklerini fark ederek MFA’nın ne kadar hızlı atlanabileceğini ortaya çıkardı.
Güvenli MFA için En İyi Uygulamalar
MFA hâlâ çevrimiçi hesapların şifrelerini korumanın en güvenli yollarından biri olarak görülse de, araştırma hiçbir sistemin tamamen saldırganlara karşı dayanıklıdır. Oasis, kuruluşların kullanıcı hesaplarını kötü niyetli saldırılardan korumak için kimlik doğrulama uygulamalarını veya güçlü şifresiz yöntemleri kullanmaya devam etmelerini önerdi.
Diğer en iyi uygulamalar arasında temel şifre hijyeninin bir parçası olarak yıllardır tavsiye edilen bir uygulama yer almaktadır: kullanıcılar çevrimiçi hesaplarının şifrelerini sık sık değiştirmelidir. Ayrıca, hesapları korumak için MFA’yı kullanan herhangi bir kuruluş, kullanıcıların başarısız olduğunu bildirmek için bir posta uyarısı eklemelidir. MFA girişimleriHason, her başarısız parola oturum açma girişimini kendilerine bildirmeseler bile, belirtti.
Oasis’e göre bu son tavsiye, MFA’yı bir sistem veya uygulamaya dönüştüren herhangi bir kuruluşa da uygulanmalıdır. MFA uygulama tasarımcıları ayrıca, süresiz oturum açma girişimlerine izin vermeyen hız sınırları eklediklerinden ve başarılı MFA saldırılarını veya atlatmalarını sınırlamak için belirli bir süre sonra bir hesabı kilitlediklerinden emin olmalıdır.
