曝微软MFA多重验证系统存在重大漏洞AuthQuake
近日,安全公司Oasis发布了一份报告,指出微软的MFA多重验证系统存在重大漏洞AuthQuake。该漏洞允许黑客通过穷举暴力破解验证码来绕过验证流程并访问用户账户。如果这一漏洞被黑客利用,可能会带来广泛影响。
根据报告显示,在正常情况下,用户在PC网页端登录微软账号时需要通过绑定的验证器App生成6位动态验证码,并在时效内输入以完成认证。如果用户连续输入错误超过10次,系统将暂时禁止用户登录。然而研究人员发现,在该认证机制中缺乏对验证频率的限制,即黑客可以使用大型计算机快速生成新会话(Session),并在短时间内尝试所有可能的密码排列组合(共计100万种),从而成功暴力破解认证机制并接管用户账号。
研究人员表示,他们已经利用该漏洞成功绕过了MFA多重验证流程,并且测试过程仅持续约一小时,系统并未向受害者发出任何警告。Oasis于今年6月下旬向微软通报了这一问题,在双方的合作下,微软分别于7月和10月对该漏洞进行了修复和缓解。
研究人员指出,微软账号系统出现这个问题的原因是公司在设计验证手机App验证码时考虑到了相关动态密码每30秒就会刷新一次,而认证系统与用户访问时间实际存在延迟。因此,他们延长了验证码的有效时长最长可达3分钟。然而,这一设计给黑客提供了一种暴力破解的机会。