Forscher haben eine kritische Schwachstelle im Multifaktor-Authentifizierungssystem (MFA) von Microsoft Azure identifiziert, die den unbefugten Zugriff auf Benutzerkonten in weniger als einer Stunde ermöglicht. Durch diesen von Oasis Security entdeckten Fehler waren mehr als 400 Millionen Microsoft 365-Konten potenziellen Kontoübernahmen ausgesetzt, wobei sich die Risiken auf Outlook, OneDrive, Teams und Azure Cloud-Dienste erstreckten. Die Schwachstelle entstand durch eine fehlende Ratenbegrenzung für fehlgeschlagene MFA-Versuche, die es Angreifern ermöglichte, das System auszunutzen, ohne Benutzer zu warnen.
Kritische Sicherheitslücke in der MFA von Microsoft Azure macht 400 Millionen Konten offen
Die identifizierte Umgehungsmethode namens „AuthQuake“ ermöglichte es Forschern, schnell neue Sitzungen zu erstellen und gleichzeitig Codes aufzulisten. Tal Hason, Forschungsingenieur bei Oasis, erklärt dass die Technik die gleichzeitige Ausführung zahlreicher Anmeldeversuche erforderte, wodurch die Möglichkeiten für einen 6-stelligen Code schnell erschöpft waren. Der Angriff verlief diskret, da die Kontoinhaber keine Benachrichtigungen über die verdächtigen Aktivitäten erhielten.
Der Fehler ermöglichte es Hackern, Codes viel länger zu erraten als über die von RFC-6238 der Internet Engineering Task Force empfohlene Standardablaufzeit hinaus. Normalerweise sollten zeitbasierte Einmalkennwörter (TOTP) nach 30 Sekunden ablaufen, die Analyse von Oasis ergab jedoch, dass die Codes von Microsoft etwa drei Minuten lang gültig blieben. Dies erhöhte die Wahrscheinlichkeit erfolgreicher Vermutungen erheblich und ermöglichte Angreifern eine Chance von 3 %, den Code in der verlängerten Zeitspanne zu knacken.
Am 4. Juli 2024 informierte Oasis Microsoft über die Schwachstelle, und obwohl das Unternehmen dies im Juni anerkannte, wurde eine dauerhafte Behebung erst am 9. Oktober 2024 implementiert. Die Lösung beinhaltete strengere Ratenbegrenzungen, die nach einer bestimmten Anzahl fehlgeschlagener Versuche ausgelöst würden . Organisationen werden ermutigt, die Sicherheit durch den Einsatz von Authentifizierungs-Apps oder passwortlosen Methoden zu erhöhen, die einen besseren Schutz vor potenziellen Angriffen bieten.
Der Vorfall unterstreicht die Notwendigkeit, dass Unternehmen, die MFA nutzen, Best Practices übernehmen. Experten empfehlen die Implementierung von Warnmeldungen für fehlgeschlagene Authentifizierungsversuche, damit Unternehmen böswillige Aktivitäten frühzeitig erkennen können. Regelmäßige Überprüfungen der Sicherheitseinstellungen sind für die Identifizierung aktueller Schwachstellen von entscheidender Bedeutung.
Darüber hinaus betonen Sicherheitsexperten die Bedeutung konsistenter Passwortänderungen als Teil einer robusten Kontohygiene. Die Heimlichkeit des Angriffs zeigt, wie MFA, wenn es kompromittiert wird, von einer wichtigen Sicherheitsmaßnahme zu einem Angriffsvektor werden kann. Daher plädieren Experten für eine Umstellung auf passwortlose Authentifizierungslösungen, insbesondere bei Neuimplementierungen.
Verschiedene Organisationen, die sich mit der Cybersicherheit befassen, lernen immer wieder aus diesem Vorfall und weisen darauf hin, dass selbst allgemein anerkannte Sicherheitspraktiken unter bestimmten Umständen angreifbar sind. Während die Untersuchungen des Vorfalls voranschreiten, bleibt klar, wie wichtig kontinuierliche Wachsamkeit bei der MFA-Umsetzung ist.
Hervorgehobener Bildnachweis: Ed Hardie/Unsplash
Der Beitrag Dieser MFA-Fehler machte Office 365-Benutzer monatelang anfällig für Cyberangriffe und erschien zuerst auf TechBriefly.
Source: Dieser MFA-Fehler machte Office 365-Benutzer monatelang anfällig für Cyberangriffe
