ÖZET
- AuthQuake olarak adlandırılan; Microsoft MFA’daki kusur, saldırganların güvenlik önlemlerini atlamasına ve hesaplara erişmesine olanak tanıdı.
- Güvenlik açığı Azure, Office 365 ve diğer Microsoft hizmetlerini etkiledi ve 400 milyondan fazla kullanıcı risk altındaydı.
- Exploit, oturum açma oturumları için TOTP kodlarının hız sınırlaması eksikliğinden ve genişletilmiş geçerliliğinden yararlandı.
- Saldırganlar, kullanıcı etkileşimi olmadan %50 başarı oranıyla MFA’yı 70 dakikadan kısa bir sürede atlayabilir.
- Microsoft, kusuru 9 Ekim 2024’te daha katı hız sınırlama mekanizmalarıyla kalıcı olarak yamaladı.
Oasis Security’deki siber güvenlik araştırmacıları, Microsoft’un AuthQuake olarak bilinen Çok Faktörlü Kimlik Doğrulamasında (MFA), saldırganların güvenlik önlemlerini atlamasına ve kullanıcı hesaplarına yetkisiz erişim elde etmesine olanak tanıyan bir güvenlik açığı tespit etti.
400 milyondan fazla ücretli Office 365 aboneliğiyle bu güvenlik açığı, siber suçluların Outlook, OneDrive, Teams, Azure vb. Microsoft platformlarındaki e-postalar, dosyalar ve iletişimler gibi hassas bilgileri çalması için oldukça kazançlı bir fırsat olabilir.
Hız Limitinden ve Zamana Dayalı Tek Kullanımlık Şifreden (TOTP) Yararlanmak
Bu istismar, MFA kurulumundaki iki temel zayıflıktan yararlanıyor: Hız Sınırlamasının Olmaması ve TOTP Kodları için Uzatılmış Zaman Çerçevesi. Kullanıcılar oturum açtığında onlara bir oturum kimliği atanır ve bir kimlik doğrulama uygulamasından Zamana Dayalı Tek Kullanımlık Şifre (TOTP) kullanarak kimliklerini doğrulamaları istenir. Sorun, sistemin kullanıcıya bildirimde bulunmadan veya herhangi bir uyarı tetiklemeden oturum başına 10’a kadar başarısız oturum açma girişimine izin vermesidir.
Hız sınırlamasının olmaması, saldırganların hızlı bir şekilde yeni oturum açma oturumları oluşturmasına ve esasen altı haneli sayılar olan birden fazla TOTP kodunu denemesine olanak tanır. Bu kodların milyonlarca olası kombinasyonu olduğu göz önüne alındığında, bir saldırgan teorik olarak herhangi bir güvenlik önlemiyle karşılaşmadan tüm seçenekleri tüketebilir.
Öte yandan, TOTP kodları genellikle yalnızca 30 saniye süreyle geçerlidir; Oasis tarafından yapılan test, sistemin kodların 3 dakikaya kadar geçerli kalmasına izin verdiğini ortaya çıkardı. Bu uzatılmış zaman dilimi, doğru kodu tahmin etmeye çalışan bir saldırganın başarı şansını önemli ölçüde artırır.
Sonuç?
Oasis Security’nin haberine göre blog yazısı 11 Aralık Çarşamba günü yayınlanmadan önce Hackread.com ile paylaşılan veriler, saldırganların MFA’yı 70 dakikadan kısa sürede %50 başarı oranıyla, herhangi bir kullanıcı etkileşimi veya uyarı olmadan atlayabileceği sonucuna vardı. İşte araştırmacıların istismarı kendileri test ederken oluşturdukları bir gösteri:
Microsoft’un Yanıtı
Oasis Güvenlik olayı bildirdi Microsoft. Teknoloji devi hızlı bir şekilde yanıt verdi ve 4 Temmuz 2024’te geçici bir düzeltmenin uygulanmasının ardından 9 Ekim 2024’te kalıcı bir düzeltme uyguladı. Düzeltme, bir dizi başarısız denemeden sonra etkinleşen ve yaklaşık yarı yarıya süren daha sıkı hız limitlerinin getirilmesini içeriyordu. bir gün.
Jason SorokoSectigo’nun Kıdemli Üyesi, bu keşfin daha geniş anlamlarını vurgulayarak şunu belirtiyor: “AuthQuake, Microsoft’un MFA uygulamasındaki önemli kusurları vurguluyor. Bu, kuruluşların yamaları benimsemeleri ve güncelliğini yitirmiş MFA çözümlerine olan bağımlılıklarını yeniden değerlendirmeleri için bir uyandırma çağrısıdır. Parolasız kimlik doğrulamasına geçiş yalnızca bir trend değil, aynı zamanda güvenlik önlemlerimizi geleceğe hazır hale getirmek için bir zorunluluktur.“
Kullanıcılar ve Şirketler için Ders
Belirli bir kusur giderilmiş olsa da kuruluşlar, çalışanları siber güvenliğin önemi konusunda bilgilendirmeli ve onları şüpheli oturum açma girişimlerini bildirmeye teşvik etmelidir. Üstelik, son zamanlarda yaşanan sorunlara rağmen MFA kritik bir güvenlik önlemi olmaya devam ediyor, bu nedenle kimlik doğrulama uygulamalarını kullanın veya daha güçlü uygulamaları keşfedin şifresiz yöntemler Daha fazla koruma için.
İLGİLİ KONULAR
- Microsoft Bookings Kusuru Hesabın Ele Geçirilmesine Olanak Sağlıyor
- Azure OMIGOD güvenlik açıklarından yararlanan Mirai botnet
- Bilgisayar Korsanları Remcos RAT Varyantını Sunmak İçin Excel Dosyalarını Kullanıyor
- Azure Yapay Zeka Kusurları, Saldırıların Moderasyon Korumalarını Atlamasına Olanak Sağlıyor
- Microsoft Azure, Tespit Edilemeyen Kripto Madenci Oluşturmak İçin Kullanıldı