Siber güvenlik araştırmacıları, Microsoft’un çok faktörlü kimlik doğrulama (MFA) uygulamasında, bir saldırganın korumayı önemsiz bir şekilde atlatmasına ve kurbanın hesabına yetkisiz erişim elde etmesine olanak tanıyan “kritik” bir güvenlik açığını işaretledi.
Oasis Güvenlik araştırmacıları Elad Luz ve Tal Hason, “Baypas basitti: yürütülmesi yaklaşık bir saat sürdü, hiçbir kullanıcı etkileşimi gerektirmedi ve herhangi bir bildirim oluşturmadı veya hesap sahibine herhangi bir sorun belirtisi sağlamadı.” dedi. Hacker Haberleri.
Sorumlu açıklamanın ardından sorun kod adıyla anıldı AuthQuake – Ekim 2024’te Microsoft tarafından ele alındı.
Windows üreticisi, MFA aracılığıyla kullanıcıların kimliklerini doğrulamak için çeşitli yolları desteklerken, yöntemlerden biri, kimlik bilgilerini sağladıktan sonra bir kimlik doğrulayıcı uygulamasından altı basamaklı bir kodun girilmesini içerir. Tek bir oturum için en fazla 10 ardışık başarısız denemeye izin verilir.
Oasis tarafından belirlenen güvenlik açığı, özünde, hız sınırı eksikliği ve bu tek seferlik kodların sağlanması ve doğrulanması sırasında uzun bir zaman aralığı ile ilgilidir; böylece kötü niyetli bir aktörün hızla yeni oturumlar oluşturmasına ve kodun tüm olası permütasyonlarını numaralandırmasına olanak tanır. yani bir milyon) kurbanı başarısız oturum açma girişimleri konusunda uyarmadan bile.
Bu noktada, bu tür kodların zamana dayalı olduğunu, aynı zamanda zamana dayalı tek seferlik şifreler (TOTP’ler) olarak da anıldığını ve bir rastgelelik kaynağı olarak mevcut zamanı kullanarak oluşturulduklarını belirtmekte fayda var. Dahası, kodlar yalnızca yaklaşık 30 saniyelik bir süre boyunca aktif kalır ve sonrasında dönüşümlü olarak kullanılır.
Oasis, “Ancak, doğrulayıcı ile kullanıcı arasındaki potansiyel zaman farklılıkları ve gecikmeler nedeniyle, doğrulayıcının kod için daha büyük bir zaman aralığını kabul etmesi teşvik edilmektedir.” diye belirtti. “Kısacası bu, tek bir TOTP kodunun 30 saniyeden daha uzun süre geçerli olabileceği anlamına geliyor.”
Microsoft örneğinde New York merkezli şirket, kodun 3 dakikaya kadar geçerli olduğunu tespit etti ve böylece bir saldırganın daha fazla kaba kuvvet girişimi başlatmak için uzatılmış zaman aralığından yararlanabileceği bir senaryonun kapısını açtı. altı haneli kodu kırmak için aynı anda.
Araştırmacılar, “Oran sınırlarının getirilmesi ve bunların düzgün bir şekilde uygulandığından emin olunması çok önemli” dedi. “Ayrıca oran sınırları yeterli olmayabilir; birbirini takip eden başarısız girişimler hesabın kilitlenmesini tetiklemelidir.”
Microsoft, o zamandan beri, bir dizi başarısız denemeden sonra tetiklenen daha katı bir hız sınırı uyguladı. Oasis ayrıca yeni sınırın yaklaşık yarım gün sürdüğünü söyledi.
Keeper Security’nin bilgi güvenliği sorumlusu James Scobey, “Microsoft’un Çok Faktörlü Kimlik Doğrulamasında (MFA) AuthQuake güvenlik açığının yakın zamanda keşfedilmesi, güvenliğin yalnızca MFA dağıtımıyla ilgili olmadığını, aynı zamanda doğru şekilde yapılandırılması gerektiğini de hatırlatıyor” dedi. bir açıklamada söyledi.
“MFA şüphesiz güçlü bir savunma olsa da, etkinliği kaba kuvvet girişimlerini engellemek için hız sınırlaması ve başarısız oturum açma girişimleri için kullanıcı bildirimleri gibi temel ayarlara bağlıdır. Bu özellikler isteğe bağlı değildir; görünürlüğü artırmak için kritik öneme sahiptirler ve kullanıcılara Şüpheli etkinlikleri erken tespit edin ve hızlı bir şekilde yanıt verin.”