{"id":1482267,"date":"2024-12-11T18:22:38","date_gmt":"2024-12-11T18:22:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-falla-de-microsoft-mfa-authquake-permitio-intentos-ilimitados-de-fuerza-bruta-sin-alertas\/"},"modified":"2024-12-11T18:22:42","modified_gmt":"2024-12-11T18:22:42","slug":"la-falla-de-microsoft-mfa-authquake-permitio-intentos-ilimitados-de-fuerza-bruta-sin-alertas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-falla-de-microsoft-mfa-authquake-permitio-intentos-ilimitados-de-fuerza-bruta-sin-alertas\/","title":{"rendered":"La falla de Microsoft MFA AuthQuake permiti\u00f3 intentos ilimitados de fuerza bruta sin alertas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vulnerabilidad\/Autenticaci\u00f3n<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-falla-de-Microsoft-MFA-AuthQuake-permitio-intentos-ilimitados-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han se\u00f1alado una vulnerabilidad de seguridad &#8220;cr\u00edtica&#8221; en la implementaci\u00f3n de autenticaci\u00f3n multifactor (MFA) de Microsoft que permite a un atacante eludir trivialmente la protecci\u00f3n y obtener acceso no autorizado a la cuenta de una v\u00edctima.<\/p>\n<p>&#8220;El bypass fue simple: tard\u00f3 alrededor de una hora en ejecutarse, no requiri\u00f3 interacci\u00f3n del usuario y no gener\u00f3 ninguna notificaci\u00f3n ni proporcion\u00f3 al titular de la cuenta ning\u00fan indicio de problema&#8221;, dijeron los investigadores de Oasis Security, Elad Luz y Tal Hason. <a rel=\"noopener nofollow\" href=\"https:\/\/www.oasis.security\/resources\/blog\/oasis-security-research-team-discovers-microsoft-azure-mfa-bypass\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Tras una divulgaci\u00f3n responsable, el problema (con nombre en c\u00f3digo) <strong>AuthQuake<\/strong> \u2013 fue abordado por Microsoft en octubre de 2024.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Si bien el fabricante de Windows admite <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/authentication\/concept-authentication-methods\" target=\"_blank\">varias formas de autenticar usuarios<\/a> A trav\u00e9s de MFA, un m\u00e9todo implica ingresar un c\u00f3digo de seis d\u00edgitos desde una aplicaci\u00f3n de autenticaci\u00f3n despu\u00e9s de proporcionar las credenciales. Se permiten hasta 10 intentos fallidos consecutivos para una sola sesi\u00f3n.<\/p>\n<p>La vulnerabilidad identificada por Oasis, en esencia, se refiere a la falta de l\u00edmite de velocidad y un intervalo de tiempo extendido al proporcionar y validar estos c\u00f3digos de un solo uso, lo que permite que un actor malicioso genere r\u00e1pidamente nuevas sesiones y enumere todas las posibles permutaciones del c\u00f3digo ( es decir, un mill\u00f3n) sin siquiera alertar a la v\u00edctima sobre los intentos fallidos de inicio de sesi\u00f3n.<\/p>\n<p>Vale la pena se\u00f1alar en este punto que dichos c\u00f3digos est\u00e1n basados \u200b\u200ben el tiempo, tambi\u00e9n conocidos como contrase\u00f1as de un solo uso basadas en el tiempo (TOTP), en las que se generan utilizando la hora actual como fuente de aleatoriedad. Es m\u00e1s, los c\u00f3digos permanecen activos s\u00f3lo durante un per\u00edodo de unos 30 segundos, tras los cuales se rotan.<\/p>\n<p>&#8220;Sin embargo, debido a posibles diferencias de tiempo y retrasos entre el validador y el usuario, se anima al validador a aceptar una ventana de tiempo mayor para el c\u00f3digo&#8221;, se\u00f1al\u00f3 Oasis. &#8220;En resumen, esto significa que un \u00fanico c\u00f3digo TOTP puede ser v\u00e1lido durante m\u00e1s de 30 segundos&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-falla-de-Microsoft-MFA-AuthQuake-permitio-intentos-ilimitados-de.gif\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-falla-de-Microsoft-MFA-AuthQuake-permitio-intentos-ilimitados-de.gif\" alt=\"\" border=\"0\" data-original-height=\"438\" data-original-width=\"728\"\/><\/a><\/div>\n<p>En el caso de Microsoft, la empresa con sede en Nueva York descubri\u00f3 que el c\u00f3digo era v\u00e1lido hasta por 3 minutos, abriendo as\u00ed la puerta a un escenario en el que un atacante podr\u00eda aprovechar la ventana de tiempo extendida para iniciar m\u00e1s intentos de fuerza bruta. simult\u00e1neamente para descifrar el c\u00f3digo de seis d\u00edgitos.<\/p>\n<p>&#8220;Es crucial introducir l\u00edmites a las tasas y asegurarse de que se implementen adecuadamente&#8221;, dijeron los investigadores. &#8220;Adem\u00e1s, los l\u00edmites de tasas pueden no ser suficientes; los intentos fallidos posteriores deber\u00edan provocar el bloqueo de la cuenta&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Desde entonces, Microsoft ha aplicado un l\u00edmite de velocidad m\u00e1s estricto que se activa despu\u00e9s de varios intentos fallidos. Oasis tambi\u00e9n dijo que el nuevo l\u00edmite dura alrededor de medio d\u00eda.<\/p>\n<p>&#8220;El reciente descubrimiento de la vulnerabilidad AuthQuake en la autenticaci\u00f3n multifactor (MFA) de Microsoft sirve como recordatorio de que la seguridad no se trata s\u00f3lo de implementar MFA, sino que tambi\u00e9n debe configurarse correctamente&#8221;, James Scobey, director de seguridad de la informaci\u00f3n de Keeper Security, dijo en un comunicado.<\/p>\n<p>&#8220;Si bien MFA es sin duda una defensa poderosa, su efectividad depende de configuraciones clave, como la limitaci\u00f3n de la velocidad para frustrar los intentos de fuerza bruta y las notificaciones al usuario en caso de intentos fallidos de inicio de sesi\u00f3n. Estas caracter\u00edsticas no son opcionales; son fundamentales para mejorar la visibilidad y permitir a los usuarios Detecte actividades sospechosas temprano y responda r\u00e1pidamente&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/microsoft-mfa-authquake-flaw-enabled.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de diciembre de 2024\ue804Ravie LakshmananVulnerabilidad\/Autenticaci\u00f3n Los investigadores de ciberseguridad han se\u00f1alado una vulnerabilidad de seguridad &#8220;cr\u00edtica&#8221; en<\/p>\n","protected":false},"author":1,"featured_media":1482268,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5274,4661,267283,76225,4664,2503,350,37905,2534,201033,28802,7983,4654,201031,4659,4653,4655,2268,246983,255454,246984,1030,201032,246982,4660],"class_list":["post-1482267","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alertas","tag-ataques-ciberneticos","tag-authquake","tag-bruta","tag-como-hackear","tag-falla","tag-fuerza","tag-ilimitados","tag-intentos","tag-las-noticias-de-los-piratas-informaticos","tag-mfa","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-permitio","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-sin","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1482267","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1482267"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1482267\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1482268"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1482267"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1482267"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1482267"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}