Microsoft’un Multi-Factor Authentication (MFA) uygulamasındaki kritik bir güvenlik açığı, Oasis Security’nin araştırma ekibi tarafından ortaya çıkarıldı ve potansiyel olarak 400 milyondan fazla Office 365 hesabının yetkisiz erişime maruz kalmasına neden oldu.
“AuthQuake” olarak adlandırılan kusur, saldırganların MFA korumalarını atlamasına ve Outlook e-postaları, OneDrive dosyaları, Teams sohbetleri ve Azure Bulut kaynakları dahil olmak üzere kullanıcı hesaplarına erişmesine olanak tanıdı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
AuthQuake kusuru, Microsoft’un MFA sistemindeki iki önemli sorundan kaynaklandı:
- Hız Sınırlamasının Olmaması: Saldırganlar hızla yeni oturumlar oluşturabilir ve aynı anda birden fazla kod tahmininde bulunabilir, bu da olası tüm 6 basamaklı kod kombinasyonlarını hızla tüketebilir.
- Genişletilmiş Kod Geçerliliği: TOTP kodları, standart 30 saniyeden önemli ölçüde daha uzun bir süre olan yaklaşık 3 dakika boyunca geçerli kaldı ve saldırganlar için fırsat penceresini genişletti.
Bu güvenlik açıkları, kötü niyetli aktörlerin 70 dakika içinde MFA savunmasını potansiyel olarak ihlal etmelerine ve %50’yi aşan bir başarı oranına ulaşmalarına olanak tanıdı. Endişe verici bir şekilde, istismar hiçbir kullanıcı etkileşimi gerektirmedi ve hiçbir uyarı oluşturmadı; bu da hesap sahiplerinin devam eden saldırıdan habersiz kalmasına neden oldu.
AuthQuake Saldırı Yöntemi
Baypas tekniği, zamana dayalı tek kullanımlık şifre (TOTP) sistemindeki zayıflıklardan yararlandı:
- Saldırganlar aynı parametreleri kullanarak birden fazla oturum başlattı.
- Hızla yeni oturumlar oluşturarak ve kodları numaralandırarak yüksek oranda kombinasyon denemeleri yapabiliyorlardı.
- Kodlar için uzatılmış 3 dakikalık geçerlilik penceresi, başarılı bir tahmin şansını artırdı.
Oasis Security’nin bildirimi üzerine Microsoft hızlı bir şekilde harekete geçti:
- 24 Haziran 2024: Microsoft sorunu kabul etti.
- 4 Temmuz 2024: Geçici bir düzeltme uygulandı.
- 9 Ekim 2024: Kalıcı çözüm hayata geçirildi.
Kalıcı düzeltme, bir dizi başarısız denemeden sonra etkinleşen ve yaklaşık yarım gün süren daha katı hız sınırlayıcı mekanizmaların getirilmesini içeriyordu.
Bu özel güvenlik açığı giderilirken olay, sağlam MFA uygulamalarının önemini vurguluyor. Güvenlik uzmanları şunları tavsiye ediyor:
- Daha Sıkı Hız Sınırlaması Uygulayın: Kaba kuvvet saldırılarını önlemek için başarısız kimlik doğrulama girişimlerine sınırlar uygulayın.
- Başarısız MFA Girişimlerini İzleme: Şüpheli etkinliği tespit etmek amacıyla tekrarlanan ikinci faktör kimlik doğrulama hatalarına yönelik uyarılar ayarlayın.
- Düzenli Güvenlik Denetimleri: Güvenlik açıklarını belirlemek ve çözmek için güvenlik yapılandırmalarını sürekli olarak inceleyin ve güncelleyin.
- Kullanıcı Eğitimi: Çalışanların MFA’nın önemini ve nasıl etkili bir şekilde kullanılacağını anlamalarına yardımcı olmak için düzenli eğitimler düzenleyin.
Bu aksaklığa rağmen MFA kritik bir güvenlik önlemi olmaya devam ediyor. Kuruluşların, potansiyel güvenlik açıklarına karşı tetikte kalarak, tercihen kimlik doğrulayıcı uygulamalarla veya daha güçlü şifresiz yöntemlerle MFA’yı kullanmaya devam etmeleri önerilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin