Pesquisadores de cibersegurança identificaram uma vulnerabilidade de segurança "crítica" na implementação da autenticação de múltiplos fatores (MFA) da Microsoft, que permite a um atacante contornar facilmente a proteção e obter acesso não autorizado à conta de uma vítima.
"O bypass foi simples: levou cerca de uma hora para executar, não requereu interação do usuário e não gerou nenhuma notificação ou indicativo de problema ao titular da conta", disseram os pesquisadores da Oasis Security, Elad Luz e Tal Hason, em um relatório compartilhado.
Após a divulgação responsável, o problema – codinome AuthQuake – foi resolvido pela Microsoft em outubro de 2024.
Embora o fabricante do Windows suporte várias formas de autenticar usuários via MFA, um método envolve inserir um código de seis dígitos de um aplicativo autenticador após fornecer as credenciais.
Até 10 tentativas falhas consecutivas são permitidas em uma única sessão.
A vulnerabilidade identificada pela Oasis, fundamentalmente, diz respeito à falta de um limite de taxa e a um intervalo de tempo estendido ao fornecer e validar esses códigos de uso único, permitindo assim que um ator malicioso crie rapidamente novas sessões e enumere todas as possíveis permutações do código (ou seja, um milhão) sem sequer alertar a vítima sobre as tentativas de login falhas.
É importante notar neste ponto que tais códigos, também referidos como senhas de uso único baseadas em tempo (TOTPs), são limitados pelo tempo, sendo gerados usando o tempo atual como fonte de aleatoriedade.
Além disso, os códigos permanecem ativos apenas por um período de cerca de 30 segundos, após o qual são rotacionados.
"Contudo, devido a possíveis diferenças de tempo e atrasos entre o validador e o usuário, o validador é incentivado a aceitar uma janela de tempo maior para o código", a Oasis apontou.
Em resumo, isso significa que um único código TOTP pode ser válido por mais de 30 segundos.
No caso da Microsoft, a empresa com sede em Nova York descobriu que o código era válido por até 3 minutos, abrindo assim a porta para um cenário onde um atacante poderia aproveitar a janela de tempo estendida para iniciar mais tentativas de força bruta simultaneamente para quebrar o código de seis dígitos.
"Introduzir limites de taxa e garantir que eles sejam implementados corretamente é crucial", disseram os pesquisadores.
Limites de taxa podem não ser suficientes, em adição – tentativas falhas consequentes deveriam acionar o bloqueio da conta.
A Microsoft desde então impôs um limite de taxa mais rigoroso que é acionado após um número de tentativas falhas.
A Oasis também disse que o novo limite dura cerca de meio dia.
"A recente descoberta da vulnerabilidade AuthQuake na Autenticação de Múltiplos Fatores (MFA) da Microsoft serve como um lembrete de que a segurança não é apenas sobre implementar MFA – ela também deve ser configurada corretamente", disse James Scobey, diretor de segurança da informação na Keeper Security, em um comunicado.
Enquanto MFA é sem dúvida uma defesa poderosa, sua eficácia depende de configurações chave, como limitação de taxa para combater tentativas de força bruta e notificações de usuário para tentativas de login falhas.
Esses recursos não são opcionais; eles são críticos para aumentar a visibilidade, permitindo aos usuários identificar atividades suspeitas cedo e responder rapidamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...