Pesquisadores de cibersegurança identificaram uma vulnerabilidade "crítica" na implementação da autenticação multifatorial (MFA) da Microsoft, permitindo que um atacante contornasse facilmente a proteção e obtivesse acesso não autorizado à conta de uma vítima.
"A brecha era simples: levou cerca de uma hora para ser executada, não requeria interação do usuário e não gerava notificação alguma, nem dava qualquer indicação ao titular da conta sobre problemas," disseram os pesquisadores Elad Luz e Tal Hason da Oasis Security em um relatório.
Após uma divulgação responsável, o problema, nomeado de AuthQuake, foi corrigido pela Microsoft em outubro de 2024.
Enquanto a Microsoft oferece várias formas de autenticar usuários via MFA, um método envolve inserir um código de seis dígitos de um aplicativo autenticador após fornecer as credenciais. Até 10 tentativas consecutivas falhas são permitidas em uma única sessão.
A vulnerabilidade identificada pela Oasis, em essência, trata-se da falta de limitação de taxa e de um intervalo de tempo prolongado ao fornecer e validar esses códigos de uso único, permitindo que um ator malicioso gere rapidamente novas sessões e teste todas as permutações possíveis do código (ou seja, um milhão) sem sequer alertar a vítima sobre as tentativas de login falhas.
Vale notar que esses códigos são baseados no tempo, também conhecidos como senhas de uso único baseadas no tempo (TOTPs), onde são gerados usando o tempo atual como fonte de aleatoriedade. Além disso, os códigos são ativos por um período de cerca de 30 segundos, após o qual são renovados.
"No entanto, devido a possíveis diferenças de tempo e atrasos entre o validador e o usuário, o validador é incentivado a aceitar uma janela de tempo maior para o código," destacou a Oasis. "Em resumo, isso significa que um único código TOTP pode ser válido por mais de 30 segundos."
No caso da Microsoft, a empresa com sede em Nova York descobriu que o código permanecia válido por até 3 minutos, abrindo a porta para um cenário onde um atacante poderia aproveitar essa janela de tempo estendida para iniciar várias tentativas de força bruta simultaneamente para decifrar o código de seis dígitos.
"Introduzir limites de taxa e garantir que sejam implementados corretamente é crucial," disseram os pesquisadores. "Limites de taxa podem não ser suficientes; além disso, tentativas consecutivas falhas devem acionar um bloqueio da conta."
Desde então, a Microsoft implementou um limite de taxa mais rigoroso que é ativado após um certo número de tentativas falhas. A Oasis também mencionou que o novo limite dura cerca de meio dia.
"A recente descoberta da vulnerabilidade AuthQuake no MFA da Microsoft serve como um lembrete de que a segurança não é apenas sobre implementar MFA – ela também deve ser configurada corretamente," disse James Scobey, Chief Information Security Officer da Keeper Security, em uma declaração.
"Embora o MFA seja indiscutivelmente uma defesa poderosa, sua eficácia depende de configurações chave, como limitação de taxa para frustrar tentativas de força bruta e notificações para o usuário em caso de tentativas de login falhas. Esses recursos não são opcionais; são críticos para aumentar a visibilidade, permitindo que os usuários detectem atividades suspeitas rapidamente e respondam de forma ágil."
Via - THN
Comments