Os pesquisadores identificaram uma vulnerabilidade crítica no sistema de autenticação multifator (MFA) do Microsoft Azure, permitindo acesso não autorizado a contas de usuários em menos de uma hora. Esta falha, descoberta pela Oasis Security, expôs mais de 400 milhões de contas do Microsoft 365 a possíveis invasões de contas, com riscos que se estendem aos serviços Outlook, OneDrive, Teams e Azure Cloud. A vulnerabilidade surgiu da falta de limitação de taxa para tentativas malsucedidas de MFA, permitindo que invasores explorassem o sistema sem alertar os usuários.
Vulnerabilidade crítica no MFA do Microsoft Azure expõe 400 milhões de contas
O método de desvio identificado, apelidado de “AuthQuake”, permitiu aos pesquisadores criar rapidamente novas sessões enquanto enumeravam códigos. Tal Hason, engenheiro de pesquisa do Oasis, explicado que a técnica envolvia a execução de inúmeras tentativas de login simultaneamente, esgotando rapidamente as opções para um código de 6 dígitos. O ataque permaneceu discreto, pois os proprietários das contas não receberam notificações sobre atividades suspeitas.
A falha permitiu que hackers adivinhassem códigos por muito mais tempo do que o período de expiração padrão recomendado pela RFC-6238 da Internet Engineering Task Force. Normalmente, as senhas de uso único baseadas em tempo (TOTP) deveriam expirar após 30 segundos, mas a análise do Oasis indicou que os códigos da Microsoft permaneceram válidos por aproximadamente três minutos. Isso aumentou significativamente a probabilidade de suposições bem-sucedidas, permitindo aos invasores uma chance de 3% de decifrar o código no prazo estendido.
Em 4 de julho de 2024, o Oasis informou a Microsoft sobre a vulnerabilidade e, embora a empresa a reconhecesse em junho, uma correção permanente não foi implementada até 9 de outubro de 2024. A resolução incluía limites de taxa mais rígidos que seriam acionados após um determinado número de tentativas fracassadas. . As organizações são incentivadas a aumentar a segurança usando aplicativos autenticadores ou métodos sem senha, que fornecem maior proteção contra possíveis ataques.
O incidente sublinha a necessidade de as organizações que utilizam MFA adoptarem as melhores práticas. Os especialistas recomendam a implementação de alertas para tentativas de autenticação malsucedidas, permitindo que as organizações detectem atividades maliciosas antecipadamente. Revisões regulares das configurações de segurança são vitais para identificar vulnerabilidades contínuas.
Além disso, os especialistas em segurança enfatizam a importância de alterações consistentes de senha como parte de uma higiene robusta da conta. A furtividade do ataque ilustra como o MFA, quando comprometido, pode passar de uma medida de segurança significativa para um vetor de ataque. Consequentemente, os especialistas defendem uma mudança em direção a soluções de autenticação sem senha, especialmente para novas implantações.
Várias organizações envolvidas na cibersegurança continuam a aprender com este incidente, observando que mesmo as práticas de segurança amplamente aceites são vulneráveis em determinadas circunstâncias. À medida que as investigações sobre o incidente avançam, a importância da vigilância contínua na implementação da AMF permanece clara.
Crédito da imagem em destaque: Ed Hardie/Unsplash
A postagem Essa falha de MFA deixou os usuários do Office 365 abertos a ataques cibernéticos por meses apareceu pela primeira vez no TechBriefly.
Source: Esta falha de MFA deixou os usuários do Office 365 abertos a ataques cibernéticos por meses
