Badacze z Oasis Security odkryli krytyczną lukę w implementacji uwierzytelniania wieloskładnikowego (MFA) w Microsoft Azure, która mogła umożliwić atakującym zdobycie dostępu do kont użytkowników w mniej niż godzinę. Podatne na ataki były miliony kont, w tym te z dostępem do usług takich jak Outlook, OneDrive czy Teams. Dzięki tej luce, atakujący mogli obejść zabezpieczenia MFA, uzyskując dostęp do chronionych danych bez wykrycia.
Problem wynikał z dwóch głównych błędów w mechanizmie MFA. Po pierwsze, brak limitu liczby nieudanych prób logowania w sesji pozwalał na szybkie testowanie dużej liczby kodów weryfikacyjnych. Drugi problem stanowiło przedłużenie ważności kodu weryfikacyjnego, który standardowo powinien wygasać po 30 sekundach, a w tym przypadku pozostawał aktywny przez trzy minuty, co zwiększało szanse na powodzenie ataku.
Oasis Security zgłosiło problem w czerwcu 2024 roku, a Microsoft gwałtownie wdrożył tymczasowe rozwiązanie. W październiku 2024 firma wprowadziła trwałą poprawkę, dodając limit prób logowania, co skutecznie zapobiega atakom typu brute force.
Pomimo tej wady, eksperci z Oasis Security przez cały czas rekomendują korzystanie z MFA, wskazując na inne metody weryfikacji, takie jak aplikacje uwierzytelniające czy weryfikacja bez hasła. Ważne jest również monitorowanie nieudanych prób logowania i regularna zmiana haseł, by zminimalizować ryzyko włamań.
Oto kilka zaleceń dla użytkowników Microsoft Azure, aby zwiększyć bezpieczeństwo swoich kont:
- Włącz MFA: Korzystaj z uwierzytelniania wieloskładnikowego (MFA) wszędzie tam, gdzie to możliwe. Zamiast tradycyjnych haseł, używaj aplikacji uwierzytelniających lub silniejszych metod, takich jak weryfikacja bez hasła.
- Monitoruj nieudane próby MFA: Skonfiguruj powiadomienia o nieudanych próbach logowania, aby gwałtownie wykrywać podejrzane działania i potencjalne ataki.
- Sprawdzaj wycieki danych logowania: Regularnie zmieniaj hasła i monitoruj dostęp do kont, aby zminimalizować ryzyko związane z ewentualnym wyciekiem danych logowania.
- Stosuj silne hasła: Używaj unikalnych, trudnych do odgadnięcia haseł, najlepiej korzystając z menedżerów haseł do ich przechowywania.
- Regularnie aktualizuj oprogramowanie: Upewnij się, iż systemy i aplikacje są na bieżąco aktualizowane, by korzystać z najnowszych poprawek bezpieczeństwa.