Falha do Microsoft MFA AuthQuake habilitada para tentativas ilimitadas de força bruta sem alertas

20/12/2024 mindsecblog Notícias 0

Pesquisadores de segurança cibernética sinalizaram uma vulnerabilidade de segurança “crítica” na implementação de autenticação multifator (MFA) da Microsoft que permite que um invasor contorne trivialmente a proteção e obtenha acesso não autorizado à conta de uma vítima.

“O desvio foi simples: levou cerca de uma hora para ser executado, não exigiu interação do usuário e não gerou nenhuma notificação ou forneceu ao titular da conta qualquer indicação de problema”, disseram os pesquisadores da Oasis Security, Elad Luz e Tal Hason, em um relatório compartilhado com o The Hacker News.

Após a divulgação responsável, o problema – codinome AuthQuake – foi resolvido pela Microsoft em outubro de 2024.

Embora o criador do Windows dê suporte a várias maneiras de autenticar usuários via MFA, um método envolve a inserção de um código de seis dígitos de um aplicativo autenticador depois de fornecer as credenciais. Até 10 tentativas malsucedidas consequentes são permitidas para uma única sessão.

A vulnerabilidade identificada pelo Oasis, em sua essência, diz respeito à falta de limite de taxa e a um intervalo de tempo estendido ao fornecer e validar esses códigos únicos, permitindo assim que um agente mal-intencionado gere rapidamente novas sessões e enumere todas as permutações possíveis do código (ou seja, um milhão) sem nem mesmo alertar a vítima sobre as tentativas de login com falha.

Vale a pena notar neste ponto que esses códigos, também chamados de senhas de uso único baseadas em tempo (TOTPs), são limitados por tempo, em que são gerados usando a hora atual como fonte de aleatoriedade. Além disso, os códigos permanecem ativos apenas por um período de cerca de 30 segundos, após o qual são girados.

“No entanto, devido a possíveis diferenças de tempo e atrasos entre o validador e o usuário, o validador é incentivado a aceitar uma janela de tempo maior para o código”, apontou a Oasis. “Em suma, isso significa que um único código TOTP pode ser válido por mais de 30 segundos.”

No caso da Microsoft, a empresa com sede em Nova York descobriu que o código era válido por até 3 minutos, abrindo assim a porta para um cenário em que um invasor poderia aproveitar a janela de tempo estendida para iniciar mais tentativas de força bruta simultaneamente para quebrar o código de seis dígitos.

“Introduzir limites de taxa e garantir que eles sejam implementados adequadamente é crucial”, disseram os pesquisadores. “Além disso, os limites de taxa podem não ser suficientes – as tentativas fracassadas consequentes devem desencadear um bloqueio de conta.”

Desde então, a Microsoft impôs um limite de taxa mais rígido que é acionado após várias tentativas fracassadas. A Oasis também disse que o novo limite dura cerca de meio dia.

“A recente descoberta da vulnerabilidade AuthQuake na autenticação multifator (MFA) da Microsoft serve como um lembrete de que a segurança não é apenas implantar a MFA – ela também deve ser configurada corretamente”, disse James Scobey, diretor de segurança da informação da Keeper Security, em um comunicado.

“Embora a MFA seja, sem dúvida, uma defesa poderosa, sua eficácia depende de configurações-chave, como limitação de taxa para impedir tentativas de força bruta e notificações do usuário para tentativas de login com falha. Esses recursos não são opcionais; Eles são essenciais para aumentar a visibilidade, permitindo que os usuários identifiquem atividades suspeitas antecipadamente e respondam rapidamente.”