Az Oasis Security nyilvánosságra hozta az AuthQuake nevű módszert, amely lehetővé teszi a Microsoft többtényezős hitelesítésének (MFA) megkerülését mindössze egy óra alatt, felhasználói interakció nélkül.
A Multi-Factor Authentication (MFA) a kiberbiztonság sarokköve. Extra védelmi réteget ad a fiókokhoz, nagymértékben növelve annak esélyét, hogy még akkor is megakadályozzák az illetéktelen hozzáférést, ha egy jelszót feltörnek. A Microsoft MFA-rendszerében a közelmúltban megjelent Authquake sebezhetőség azonban rávilágít arra, hogy egyetlen biztonsági intézkedés sem teljesen biztonságos.
A kiberbűnözők ezt a hibát kihasználva megkerülték az MFA-védelmet, és hozzáfértek érzékeny fiókokhoz.
Az Oasis Security, amely nem emberi identitáskezeléssel foglalkozik, közzétette egy támadás részleteit, amelyben kutatóiknak sikerült megkerülniük a Microsoft többtényezős hitelesítési rendszerét.
A támadási módszert, amelyet AuthQuake-nak neveztek el, június végén jelentették a Microsoftnak, és néhány nappal később egy ideiglenes javítást vezettek be. A tech óriás októberben adott ki egy végleges javítást.
Az Oasis szerint a kritikusnak minősített sebezhetőség lehetővé tette volna a fenyegető szereplők számára, hogy megkerüljék a Microsoft MFA rendszerét és hozzáférjenek a felhasználói fiókokhoz, feltéve, hogy rendelkeztek az áldozat felhasználónevével és jelszavával.
A biztonsági cég rámutatott, hogy az MFA megkerülése lehetőséget adhatott volna olyan szolgáltatásokhoz való hozzáférésre, mint az Outlook e-mailek, OneDrive fájlok, Teams csevegések és Azure felhőszolgáltatások. Az Oasis hangsúlyozta a sebezhetőség jelentőségét, utalva arra, hogy a Microsoft nemrégiben több mint 400 millió fizetős Office 365 fiókot jelentett.
Az Oasis szerint az AuthQuake módszer azért volt különösen veszélyes, mert átlagosan egy óra alatt végrehajtható, nem igényelt felhasználói interakciót, és nem váltott ki semmilyen értesítést az áldozat számára.
Az MFA során, amikor egy hitelesítő alkalmazásból kell megszerezni a hatjegyű kódot a bejelentkezéshez, egy munkamenet legfeljebb 10 hibás próbálkozást engedélyez a brute force támadások elkerülése érdekében.
Azonban az Oasis kutatói felfedezték, hogy a támadók egyszerre több próbálkozást is végrehajthatnak, így viszonylag gyorsan végigmehetnek a lehetséges kombinációkon.
A kutatók tesztjei szerint az alkalmazás által generált minden egyes MFA kód körülbelül három percig érvényes, ami 3%-os esélyt adott a helyes kód eltalálására. Miután a három perc lejárt, a támadó új munkamenetet indíthatott, és a folyamat ismétlődött, amíg a helyes kódot meg nem találta – mindezt úgy, hogy az áldozat semmilyen támadási jelet nem érzékelt.
Mi az Authquake hiba?
Az Authquake sebezhetősége a Microsoft MFA-jogkivonatcsere folyamatában rejlik, amely hitelesíti a felhasználókat olyan szolgáltatásokban, mint az Office 365 és az Azure Active Directory.
Mi történt rosszul: A támadók manipulálták a munkamenet-tokeneket, megkerülve az MFA-ellenőrzést.
Hatás: Ez lehetővé tette a fiókokhoz való jogosulatlan hozzáférést, veszélybe sodorva az érzékeny üzleti és személyes adatokat.
A Microsoft 2024-ben észlelte ezt a hibát, és javítást adott ki annak enyhítésére.
Hogyan használták ki a hackerek a hibát
A kiberbűnözők a technikai és a szociális tervezési taktikák kombinációját alkalmazták az Authquake hibájának kihasználására.
Munkamenet-token manipuláció – A hackerek megváltoztatták a bejelentkezési munkamenetek során kicserélt hitelesítési tokeneket, hogy megkerüljék az MFA-ellenőrzéseket.
Social Engineering – A támadók adathalász e-maileket és hamis MFA-utasításokat használtak, hogy rávegyék a felhasználókat a bejelentkezési kérelmek jóváhagyására.
Automatizálási eszközök – Az automatizált szkriptek skálázhatóvá tették a támadást, lehetővé téve a hackerek számára, hogy egyszerre több fiókot is megcélozzanak, korlátlan számú brute force bejelentkezési kísérlet mellett.
Kit érintett?
A támadás elsősorban a Microsoft felhőszolgáltatásait használó szervezeteket célozta, mint például:
Office 365
Azure Active Directory
Az elavult MFA-konfigurációkkal vagy nem megfelelő felügyeleti gyakorlattal rendelkező vállalkozások voltak a legsebezhetőbbek.
A Microsoft válasza
A Microsoft gyorsan reagált az Authquake hibára:
Biztonsági javításokat adtak ki a sérülékenység javítására.
Részletes útmutatást nyújtott a szervezeteknek az MFA megvalósításának megerősítéséhez.
Bátorította a fejlett MFA-funkciók, például a számegyeztetés alkalmazását.