Eksperci ds. cyberbezpieczeństwa wykryli krytyczną lukę w zabezpieczeniach związanych z wdrożeniem uwierzytelniania wieloskładnikowego (MFA) przez Microsoft. Wykorzystanie tej luki pozwala atakującym z łatwością obejść mechanizmy ochronne i uzyskać nieautoryzowany dostęp do kont ofiar. Problem, nazwany kodowo AuthQuake, został zgłoszony przez badaczy z Oasis Security, jednocześnie ujawniając alarmujące szczegóły dotyczące prostoty ataku.
Według raportu badaczy Elada Luza i Tala Hasona, przeprowadzenie ataku nie wymagało interakcji użytkownika, powiadomień ani innych sygnałów, które mogłyby ostrzec właściciela konta o możliwym zagrożeniu. Cały proces zajmował zaledwie około godziny. Na szczęście luka została zgłoszona Microsoftowi w ramach odpowiedzialnego ujawnienia i została załatana w październiku 2024 roku.
Podstawą uwierzytelniania wieloskładnikowego jest dodatkowy etap zabezpieczający proces logowania poza standardowym użyciem hasła. Jedna z metod wykorzystywana przez Microsoft wymaga od użytkownika wprowadzenia jednorazowego, sześciocyfrowego kodu generowanego przez aplikację uwierzytelniającą po podaniu danych logowania. Jednak badacze z Oasis Security odkryli, że brak limitu ilości prób weryfikacji w jednym procesie sesji oraz wydłużony czas na walidację kodów stanowiły kluczową lukę pozwalającą atakującym na tzw. atak brute-force.
Mówiąc najprościej, atak ten polegał na systematycznym testowaniu kolejnych kombinacji sześciocyfrowych kodów (od 000000 do 999999) w celu uzyskania odpowiedniego. Ze względu na niedociągnięcia techniczne, możliwe było generowanie wielu sesji logowania naraz bez informowania posiadacza konta o nieudanych próbach.
Kod generowany w ramach MFA, znany jako jednorazowy kod czasowy (ang. TOTP – Time-Based One-Time Password), jest zaprogramowany do bycia aktywnym jedynie przez krótki okres (zwykle około 30 sekund). Jednak w praktyce, z powodu ewentualnych różnic czasu pomiędzy systemem użytkownika a serwerem weryfikującym, ten okres może być wydłużony. W przypadku Microsoftu badacze odkryli, że jeden kod mógł być akceptowany nawet przez 3 minuty! Taki długi okres otwierał pole do intensywnych i szybko realizowanych prób zgadywania hasła.
Eksperci z Oasis Security zaapelowali o wprowadzenie sztywnych limitów na ilość nieudanych prób oraz blokady konta po przekroczeniu określonego progu. Wprowadzenie takich ograniczeń znacząco zmniejszyłoby ryzyko powodzenia ataku. Ważnym elementem byłoby również odpowiednie monitorowanie aktywności logowania — obecne rozwiązania zbyt niechętnie wysyłały powiadomienia użytkownikom, co skutkowało ograniczoną świadomością potencjalnych zagrożeń.
Microsoft szybko odpowiedział na problem. Aktualizacja systemu wprowadziła nowe limity, redukując liczbę prób logowania przed aktywowaniem blokady. Nowe ograniczenia są również bardziej wydłużone w czasie, co oznacza, że po kilku nieudanych sesjach logowania konto może zostać zablokowane nawet na pół dnia.
James Scobey, dyrektor ds. bezpieczeństwa informacji w Keeper Security, zwraca uwagę, że samo wprowadzenie uwierzytelniania wieloskładnikowego nie gwarantuje pełnego bezpieczeństwa. „Efektywność MFA zależy od odpowiednich ustawień, takich jak ograniczenia liczby prób logowania czy natychmiastowe powiadomienia dla użytkownika o nieautoryzowanej aktywności. Bez tych mechanizmów MFA staje się dużo bardziej podatne na ataki brute-force” – podkreślił w swoim oświadczeniu.
Przypadek związany z luką AuthQuake jest kolejnym przypomnieniem dla organizacji i użytkowników o tym, jak istotne jest nie tylko stosowanie nowoczesnych mechanizmów ochrony, ale również ich właściwa konfiguracja. Technologia wciąż ewoluuje, a zabezpieczenia muszą być na tyle wszechstronne, aby skutecznie powstrzymać stale udoskonalane metody ataków.
