Onderzoekers hebben een kritieke kwetsbaarheid geïdentificeerd in het multifactorauthenticatiesysteem (MFA) van Microsoft Azure, waardoor ongeautoriseerde toegang tot gebruikersaccounts binnen een uur mogelijk is. Deze fout, ontdekt door Oasis Security, stelde meer dan 400 miljoen Microsoft 365-accounts bloot aan mogelijke accountovernames, met risico’s die zich uitstrekten tot Outlook, OneDrive, Teams en Azure Cloud-services. Het beveiligingslek ontstond door een gebrek aan snelheidsbeperking voor mislukte MFA-pogingen, waardoor aanvallers het systeem konden misbruiken zonder gebruikers te waarschuwen.
Door een kritieke kwetsbaarheid in de MFA van Microsoft Azure zijn 400 miljoen accounts blootgelegd
De geïdentificeerde bypass-methode, genaamd “AuthQuake”, stelde onderzoekers in staat snel nieuwe sessies te creëren terwijl ze codes opsomden. Tal Hason, een onderzoeksingenieur bij Oasis, uitgelegd dat de techniek gepaard ging met het gelijktijdig uitvoeren van talloze inlogpogingen, waardoor de opties voor een zescijferige code snel uitgeput raakten. De aanval bleef discreet, omdat accounteigenaren geen meldingen ontvingen over de verdachte activiteiten.
Door de fout konden hackers codes veel langer raden dan de standaard vervalperiode die wordt aanbevolen door RFC-6238 van de Internet Engineering Task Force. Normaal gesproken vervallen op tijd gebaseerde eenmalige wachtwoorden (TOTP) na 30 seconden, maar uit de analyse van Oasis blijkt dat de codes van Microsoft ongeveer drie minuten geldig blijven. Dit verhoogde de kans op succesvolle gissingen aanzienlijk, waardoor aanvallers een kans van 3% kregen om de code binnen het verlengde tijdsbestek te kraken.
Op 4 juli 2024 bracht Oasis Microsoft op de hoogte van de kwetsbaarheid, en hoewel het bedrijf dit in juni erkende, werd er pas op 9 oktober 2024 een permanente oplossing geïmplementeerd. De resolutie omvatte strengere tarieflimieten die zouden worden geactiveerd na een bepaald aantal mislukte pogingen. . Organisaties worden aangemoedigd om de beveiliging te verbeteren door authenticatie-apps of wachtwoordloze methoden te gebruiken, die een betere bescherming bieden tegen mogelijke aanvallen.
Het incident onderstreept de noodzaak voor organisaties die MFA gebruiken om best practices toe te passen. Experts raden aan om waarschuwingen te implementeren voor mislukte authenticatiepogingen, zodat organisaties kwaadaardige activiteiten vroegtijdig kunnen detecteren. Regelmatige beoordelingen van beveiligingsinstellingen zijn essentieel voor het identificeren van aanhoudende kwetsbaarheden.
Bovendien benadrukken beveiligingsspecialisten het belang van consistente wachtwoordwijzigingen als onderdeel van een robuuste accounthygiëne. De heimelijkheid van de aanval illustreert hoe MFA, wanneer gecompromitteerd, kan overgaan van een belangrijke beveiligingsmaatregel naar een aanvalsvector. Daarom pleiten experts voor een verschuiving naar wachtwoordloze authenticatieoplossingen, vooral voor nieuwe implementaties.
Verschillende organisaties die betrokken zijn bij cyberbeveiliging blijven leren van dit incident en merken op dat zelfs algemeen aanvaarde beveiligingspraktijken onder bepaalde omstandigheden kwetsbaar zijn. Naarmate het onderzoek naar het incident vordert, blijft het belang van voortdurende waakzaamheid bij de uitvoering van de MFB duidelijk.
Uitgelichte afbeeldingscredits: Ed Hardie/Unsplash
Het bericht Deze MFA-fout zorgde ervoor dat Office 365-gebruikers maandenlang openstonden voor cyberaanvallen verscheen voor het eerst op TechBriefly.
Source: Door deze MFA-fout stonden Office 365-gebruikers maandenlang bloot aan cyberaanvallen
