Microsoft MFA AuthQuake 漏洞导致攻击者可无预警地进行无限次暴力破解

网络安全研究人员指出，微软的多因素身份验证 (MFA) 实施中存在一个“严重”安全漏洞，该漏洞允许攻击者轻松绕过保护并获得对受害者帐户的未经授权的访问。

Oasis Security 研究人员 Elad Luz 和 Tal Hason在与 The Hacker News 分享的一份报告中表示：“绕过方法很简单：大约需要一个小时才能完成，不需要用户交互，不会生成任何通知，也不会向账户持有人提供任何麻烦的迹象。”

经过负责任的披露，微软于 2024 年 10 月解决了这个代号为AuthQuake 的问题。

虽然 Windows 制造商支持通过 MFA验证用户身份的各种方式，但其中一种方法是在提供凭证后输入来自身份验证器应用程序的六位数代码。单个会话最多允许 10 次连续失败的尝试。

Oasis 发现的漏洞本质上涉及提供和验证这些一次性代码时缺乏速率限制和延长的时间间隔，从而允许恶意行为者快速产生新的会话并枚举代码的所有可能排列（即一百万），甚至不会向受害者发出登录尝试失败的警报。

值得注意的是，此类代码也称为基于时间的一次性密码 (TOTP)，具有时间限制，使用当前时间作为随机源生成。此外，这些代码仅在约 30 秒内保持有效，之后会轮换。

“然而，由于验证器和用户之间可能存在时间差异和延迟，我们鼓励验证器接受更大的代码时间窗口，”Oasis 指出。“简而言之，这意味着单个 TOTP 代码的有效期可能超过 30 秒。”

在微软的案例中，这家总部位于纽约的公司发现代码的有效期长达 3 分钟，因此攻击者可以利用延长的时间窗口同时发起更多暴力破解尝试来破解六位数代码。

研究人员表示：“引入速率限制并确保其得到正确实施至关重要。此外，速率限制可能还不够，后续失败尝试应触发账户锁定。”

此后，微软实施了更严格的速率限制，该限制在多次尝试失败后才会生效。Oasis 还表示，新的限制持续时间约为半天。

Keeper Security 首席信息安全官 James Scobey 在一份声明中表示：“最近在微软多重身份验证 (MFA) 中发现的 AuthQuake 漏洞提醒我们，安全不仅仅在于部署 MFA，还必须进行正确配置。”

“虽然 MFA 无疑是一种强大的防御手段，但其有效性取决于关键设置，例如限制速率以阻止暴力破解尝试和登录失败时通知用户。这些功能不是可选的；它们对于增强可见性至关重要，使用户能够尽早发现可疑活动并迅速做出反应。”