Los investigadores de ciberseguridad han señalado una vulnerabilidad de seguridad “crítica” en la implementación de autenticación multifactor (MFA) de Microsoft que permite a un atacante eludir trivialmente la protección y obtener acceso no autorizado a la cuenta de una víctima.
“El bypass fue simple: tardó alrededor de una hora en ejecutarse, no requirió interacción del usuario y no generó ninguna notificación ni proporcionó al titular de la cuenta ningún indicio de problema”, dijeron los investigadores de Oasis Security, Elad Luz y Tal Hason. dicho en un informe compartido con The Hacker News.
Tras una divulgación responsable, el problema (con nombre en código) AuthQuake – fue abordado por Microsoft en octubre de 2024.
Si bien el fabricante de Windows admite varias formas de autenticar usuarios A través de MFA, un método implica ingresar un código de seis dígitos desde una aplicación de autenticación después de proporcionar las credenciales. Se permiten hasta 10 intentos fallidos consecutivos para una sola sesión.
La vulnerabilidad identificada por Oasis, en esencia, se refiere a la falta de límite de velocidad y un intervalo de tiempo extendido al proporcionar y validar estos códigos de un solo uso, lo que permite que un actor malicioso genere rápidamente nuevas sesiones y enumere todas las posibles permutaciones del código ( es decir, un millón) sin siquiera alertar a la víctima sobre los intentos fallidos de inicio de sesión.
Vale la pena señalar en este punto que dichos códigos están basados en el tiempo, también conocidos como contraseñas de un solo uso basadas en el tiempo (TOTP), en las que se generan utilizando la hora actual como fuente de aleatoriedad. Es más, los códigos permanecen activos sólo durante un período de unos 30 segundos, tras los cuales se rotan.
“Sin embargo, debido a posibles diferencias de tiempo y retrasos entre el validador y el usuario, se anima al validador a aceptar una ventana de tiempo mayor para el código”, señaló Oasis. “En resumen, esto significa que un único código TOTP puede ser válido durante más de 30 segundos”.
En el caso de Microsoft, la empresa con sede en Nueva York descubrió que el código era válido hasta por 3 minutos, abriendo así la puerta a un escenario en el que un atacante podría aprovechar la ventana de tiempo extendida para iniciar más intentos de fuerza bruta. simultáneamente para descifrar el código de seis dígitos.
“Es crucial introducir límites a las tasas y asegurarse de que se implementen adecuadamente”, dijeron los investigadores. “Además, los límites de tasas pueden no ser suficientes; los intentos fallidos posteriores deberían provocar el bloqueo de la cuenta”.
Desde entonces, Microsoft ha aplicado un límite de velocidad más estricto que se activa después de varios intentos fallidos. Oasis también dijo que el nuevo límite dura alrededor de medio día.
“El reciente descubrimiento de la vulnerabilidad AuthQuake en la autenticación multifactor (MFA) de Microsoft sirve como recordatorio de que la seguridad no se trata sólo de implementar MFA, sino que también debe configurarse correctamente”, James Scobey, director de seguridad de la información de Keeper Security, dijo en un comunicado.
“Si bien MFA es sin duda una defensa poderosa, su efectividad depende de configuraciones clave, como la limitación de la velocidad para frustrar los intentos de fuerza bruta y las notificaciones al usuario en caso de intentos fallidos de inicio de sesión. Estas características no son opcionales; son fundamentales para mejorar la visibilidad y permitir a los usuarios Detecte actividades sospechosas temprano y responda rápidamente”.