Błąd w logowaniu MFA z MS Authenticator w serwisach Microsoft

Błąd w logowaniu MFA z MS Authenticator w serwisach Microsoft

Grupa badawcza Oasis Security ujawniła poważną podatność w mechanizmie MFA dla usługi Microsoft Entra ID (Azure AD). Wykorzystanie tej luki pozwalało atakującym obejść mechanizm MFA i uzyskać nieautoryzowany dostęp do kont a co za tym idzie uzyskać dostęp do Outlooka, OneDrive, Teams i wielu innych usług. Obecnie, jak podają badacze, Microsoft ma ponad 400 milionów płatnych kont Microsoft365 a więc podatność dotyczyła takiej skali użytkowników.

Obejście MFA było stosunkowo proste. Wykonanie ataku zajęło około godziny, nie wymagało interakcji użytkownika a użytkownik nawet nie został poinformowany o zalogowaniu.

Na czym polegał błąd?

Przy pierwszym wejściu na stronę logowania do Microsoft np. https://login.microsoftonline.com, użytkownikowi zostaje przypisany ID sesji składający się z kilku parametrów.
Po podaniu loginu i hasła użytkownik jest proszony o autoryzację aktualnie skonfigurowanym sposobem MFA. Używając kodu z aplikacji użytkownik musi podać kilkucyfrowy kod. System pozwala na wpisanie 10 niepoprawnych kodów.

UWAGA – problem dotyczył tylko MFA w postaci aplikacji Microsoft Authenticator.

Badacze szybko tworzyli nowe sesje i wyliczali kody MFA przez co było wiele prób, które szybko wyczerpały całkowitą liczbę kombinacji dla kodu składającego się z 6 cyfr – 1 milion kombinacji.
O tej sytuacji – ogromnej licznie nieudanych prób logowania – w żaden sposób nie został poinformowany ani użytkownik ani administrator tenanta MS.

Kody OTP z aplikacji są ważne do zalogowania 30 sekund – zgodnie z normą. Ale… biorąc pod uwagę potencjalne różnice w czasie i ewentualne opóźnienia to okno czasowe jest wydłużone. Badacze wykazali, że w przypadku MS ten czas wynosił 3 minuty – a to pozwalało na wysłanie 6-krotnie więcej prób.
Takie podejście zdaniem badaczy pozwalało na uzyskanie 3% szans na prawidłowe odgadnięcie kodu. Po 24 takich sesjach co zajęłoby około 70 minut atakujący miałby już ponad 50% szans na wylosowanie poprawnego kodo potrzebnego do zalogowania.

Obecnie MS wprowadził już odpowiednie zabezpieczenia.

Badacze proponują również kilka zaleceń dla organizacji:

  • błąd dotyczył jeden konkretnej metody MFA. Korzystanie z MFA nadal pozostaje najlepszą praktyką jeśli chodzi o bezpieczeństwo. Można korzystać z silniejszych form
  • monitoruj wycieki danych
  • skonfiguruj alerty o niepoprawnym logowaniu podczas gdy został użyty niepoprawny drugi czynnik

Pełna treść raportu znajduje się tutaj:
https://pages.oasis.security/rs/106-PZV-596/images/oasis-security-authquake-mfa-bypass.pdf?version=0