摘要:该漏洞由Oasis Security发现。研究人员在12月11日的一篇博客文章中报告称,利用此漏洞,攻击者可以访问Outlook电子邮件、OneDrive文件、Teams聊天以及Azure云服务。
微软多因素认证(MFA)存在一个被称为“AuthQuake”的重大漏洞,它可能让攻击者绕过MFA,从而非法访问用户账户。
该漏洞由Oasis Security发现。研究人员在12月11日的一篇博客文章中报告称,利用此漏洞,攻击者可以访问Outlook电子邮件、OneDrive文件、Teams聊天以及Azure云服务。
由于微软拥有超过4亿个付费的Office 365席位,该漏洞的影响可能波及多个行业,造成严重后果。此外,从漏洞被报告到补丁发布之间,存在大约四个月的间隔期。
Oasis Security的安全研究员Tal Hason表示,团队虽然不清楚AuthQuake漏洞的确切起源,但知道它在被发现前至少已经暴露了数月。Hason指出,Oasis在6月向微软报告了该漏洞。“补丁已应用于他们的后端系统,因此没有面向用户的更新,”Hason说,“微软在10月修复了该漏洞。”
微软发言人发表声明称:“我们感谢Oasis Security负责任地披露此问题。我们已经发布了更新,无需客户采取任何行动。”
微软发言人还补充说,他们现在已设置监控以检测此类滥用行为,并且尚未发现任何证据表明该技术已被用于攻击微软客户。
Oasis研究人员指出问题的核心在于:该漏洞利用了缺乏速率限制以及基于时间的一次性密码(TOTP)代码验证时间过长的问题。
通过快速创建新会话并枚举代码,Oasis研究团队展示了非常高的尝试率,这将迅速耗尽6位代码的所有选项。这意味着用户可以同时执行多次尝试。
单个TOTP代码可能有效超过30秒。当Oasis Security团队对微软登录进行测试时,结果显示单个代码的容忍时间约为三分钟,比其过期时间延长了2.5分钟,允许发送六次以上的登录尝试。
考虑到允许的速率,Oasis研究人员表示,在延长的时间段内,他们有3%的机会正确猜测出代码。经过24个这样的会话(大约70多分钟),研究人员表示,恶意行为者已有超过50%的机会成功输入有效代码:这对于黑客来说是非常高的成功率。
Sectigo的高级研究员Jason Soroko表示,AuthQuake暴露了微软MFA实施中的重大缺陷,揭示了一个重要事实:基于共享秘密的认证系统本身存在漏洞。
Soroko补充道,这基本上是一个配置错误,现在每个人都应该进行检查。他表示,所有MFA都应将速率限制设置在合理水平。
“如果你无法回答是否通过适当的速率限制缓解了此漏洞,请立即停止手头的工作并进行检查,”Soroko说,“组织必须采取行动应用补丁,并重新考虑对过时MFA解决方案的依赖。我们必须努力采用无密码认证解决方案,特别是对于新的实施方案。”
Mimoto的联合创始人兼首席执行官Kris Bondi表示,Oasis Security关于AuthQuake的最新报告凸显了MFA整体存在的重大问题。Bondi指出,当MFA受到攻击时,它很快就会从安全工具转变为重要的攻击途径。
Bondi补充说,通过访问4亿Office 365付费用户的账户,恶意行为者将能够隐秘地进行侦察,以找到最有价值的系统和数据。Bondi指出,攻击者可以添加额外的隐藏方式以获得root访问权限,例如反向shell,这将绕过未来的身份验证。
“虽然MFA比单独使用凭据更好,但它应被视为组织可接受的最低安全实践,而不是最 先进的安全措施,”Bondi说,“即使MFA按预期运行,它也只是在特定时间点验证端点,而不是确认是否为正确的人。考虑到绕过MFA的容易程度及其广泛应用,这一漏洞的严重性不容小觑。解决此问题应成为组织的最高优先级之一。”
Entro Security的联合创始人兼首席执行官Itzik Alvas解释说,此漏洞要求攻击者利用有效的用户名和密码,通过暴力破解技术绕过微软MFA。在微软的超时窗口过期之前,攻击者会快速循环遍历所有可能的MFA代码。
“虽然微软已经解决了MFA可以被暴力破解的问题,但此漏洞凸显了定期更换密码和密钥、监控暴露位置以检测被泄露的凭据,并对失败的登录和访问尝试发出警报的重要性,”Alvas说,“实施这些措施可以显著降低风险,即使攻击者发现了另一个MFA漏洞。”
Inversion6的首席信息安全官Damir J. Brescic表示,这项研究表明MFA并非万无一失,组织不应仅依赖MFA来保护其系统或关键数据。Brescic说,虽然MFA仍然是一种有价值的安全控制措施,但团队应将其作为包括网络分段、最小特权访问和持续安全监控等其他措施在内的综合防御策略的一部分来实施。
以下是Brescic的一些行动建议:
●部署特权访问管理解决方案作为第二因素,这种方案不太容易受到此类绕过攻击的影响。
●根据用户位置实施条件访问策略。
●审查组织的监控和检测能力——重点关注身份验证日志,以检测和响应任何可疑活动。
●实施额外的网络安全措施,如入侵检测/入侵预防系统。
●将关键数据隔离在堡垒主机(也称为跳板)之后。
●考虑使用日益可靠且非常用户友好的生物识别认证方法,如指纹或面部识别。
●研究提供行为分析的平台,这些平台有助于检测异常行为并实时阻止未经授权的访问。
来源:IT168企业级