Luka w MFA Microsoft Azure pozwala na ataki w mniej niż godzinę. Jak się zabezpieczyć?

5 dni temu
Zdjęcie: Microsoft, open source


Badacze z Oasis Security odkryli krytyczną lukę w implementacji uwierzytelniania wieloskładnikowego (MFA) w Microsoft Azure, która mogła umożliwić atakującym zdobycie dostępu do kont użytkowników w mniej niż godzinę. Podatne na ataki były miliony kont, w tym te z dostępem do usług takich jak Outlook, OneDrive czy Teams. Dzięki tej luce, atakujący mogli obejść zabezpieczenia MFA, uzyskując dostęp do chronionych danych bez wykrycia.

Problem wynikał z dwóch głównych błędów w mechanizmie MFA. Po pierwsze, brak limitu liczby nieudanych prób logowania w sesji pozwalał na szybkie testowanie dużej liczby kodów weryfikacyjnych. Drugi problem stanowiło przedłużenie ważności kodu weryfikacyjnego, który standardowo powinien wygasać po 30 sekundach, a w tym przypadku pozostawał aktywny przez trzy minuty, co zwiększało szanse na powodzenie ataku.

Oasis Security zgłosiło problem w czerwcu 2024 roku, a Microsoft gwałtownie wdrożył tymczasowe rozwiązanie. W październiku 2024 firma wprowadziła trwałą poprawkę, dodając limit prób logowania, co skutecznie zapobiega atakom typu brute force.

Pomimo tej wady, eksperci z Oasis Security przez cały czas rekomendują korzystanie z MFA, wskazując na inne metody weryfikacji, takie jak aplikacje uwierzytelniające czy weryfikacja bez hasła. Ważne jest również monitorowanie nieudanych prób logowania i regularna zmiana haseł, by zminimalizować ryzyko włamań.

Oto kilka zaleceń dla użytkowników Microsoft Azure, aby zwiększyć bezpieczeństwo swoich kont:

  • Włącz MFA: Korzystaj z uwierzytelniania wieloskładnikowego (MFA) wszędzie tam, gdzie to możliwe. Zamiast tradycyjnych haseł, używaj aplikacji uwierzytelniających lub silniejszych metod, takich jak weryfikacja bez hasła.
  • Monitoruj nieudane próby MFA: Skonfiguruj powiadomienia o nieudanych próbach logowania, aby gwałtownie wykrywać podejrzane działania i potencjalne ataki.
  • Sprawdzaj wycieki danych logowania: Regularnie zmieniaj hasła i monitoruj dostęp do kont, aby zminimalizować ryzyko związane z ewentualnym wyciekiem danych logowania.
  • Stosuj silne hasła: Używaj unikalnych, trudnych do odgadnięcia haseł, najlepiej korzystając z menedżerów haseł do ich przechowywania.
  • Regularnie aktualizuj oprogramowanie: Upewnij się, iż systemy i aplikacje są na bieżąco aktualizowane, by korzystać z najnowszych poprawek bezpieczeństwa.
Idź do oryginalnego materiału