网络安全研究员在微软的多因素认证 (MFA) 实现中发现了一个严重漏洞，可导致攻击者轻易绕过防御措施，越权访问受害者账户。

Oasis 安全公司的研究人员 Elad Luz 和 Tal Hason 在一份报告中提到，“绕过很简单：大概需要一小时左右执行，无需用户交互，也无需生成任何通知或向账户持有者提供任何告警信息。”该漏洞被称为“AuthQuake（认证地震）”，已由微软在2024年10月修复。

虽然微软支持多种通过MFA的用户认证方式，但其中一种方法涉及在提供凭据后，从一款认证工具app中输入一个六位数代码。一次单独的会话允许最多10次的失败尝试。

从本质上而言，该漏洞与在提供和验证这些一次性代码过程中缺乏速率限制以及时间间隔延长有关，因此可导致恶意人员快速触发新会话并枚举所有可能的代码组合，但甚至不会提醒受害者登录尝试失败。

值得注意的是，这类代码与时间有关，也被称为“基于时间的一次性密码（TOTPs）”，即将当前时间作为随机性来源生成密码。另外，这些代码的有效时间仅为30秒。研究人员提到，“然而，由于验证器与用户之间存在可能的时间差和延迟，因此验证器会被推荐接受更大的代码窗口期。简言之，这意味着一个TOTP代码的有效时间可能超过30秒。”

而对于微软而言，该代码的有效期可长达3分钟，因此可导致攻击者有机会利用延长的时间窗口，同时触发更多的暴力攻击进行破解。研究人员提到，“引入速率限制并确保得到正确执行至关重要。速率限制可能还不够，后续出现尝试失败应处罚账户锁定。”

微软随后执行了更严格的速率限制并在多次尝试失败后被触发。研究人员也表示新的速率限制持续了大概半天的时间。

Keeper Security 公司的首席信息安全官 James Scobey 在一份声明中提到，“最近从微软MFA中发现 AuthQuake 漏洞提醒我们，安全不仅仅是关于MFA部署，它必须获得正确配置。虽然MFA无疑是一种强大的防御措施，但其有效性取决于关键设置如速率限制用于阻止暴力尝试，而用户通知用于失败的登录尝试。这些特性并非可选项，而是为了增强可见性，从而使用户能够提前发现可疑活动并进行快速响应。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~