Il team di ricerca di Oasis Security ha recentemente scoperto una vulnerabilità critica nel sistema di autenticazione a più fattori (MFA) di Microsoft Azure, che consentiva agli attaccanti di bypassare la protezione MFA e ottenere accesso non autorizzato agli account degli utenti. Questo problema poteva potenzialmente esporre oltre 400 milioni di account Office 365 a rischi di sicurezza.
Dettagli della vulnerabilità
La vulnerabilità, denominata “AuthQuake”, è stata causata da due principali problemi nel sistema MFA di Microsoft:
- Gli attaccanti potevano creare rapidamente nuove sessioni e tentare molteplici combinazioni di codici simultaneamente, esaurendo rapidamente tutte le possibili combinazioni di codici a 6 cifre.
- I codici TOTP (Time-based One-Time Password) rimanevano validi per circa 3 minuti, molto più a lungo dei 30 secondi standard, aumentando la finestra di opportunità per gli attaccanti.
In pratica con questo metodo di attacco gli attaccanti avviavano più sessioni utilizzando gli stessi parametri e creando rapidamente nuove sessioni e enumerando i codici, potevano tentare combinazioni. La finestra di validità estesa di 3 minuti per i codici aumentava le probabilità di un tentativo riuscito.
“Di seguito è riportata una registrazione dello schermo di uno dei tentativi riusciti in cui i ricercatori hanno indovinato il codice in anticipo.“, commenta il Research Engineer Tal Hason.
Impatto e risoluzione
Secondo la ricerca, questa vulnerabilità permetteva agli attaccanti di bypassare le difese MFA in circa 70 minuti, con un tasso di successo superiore al 50%. Il bypass non richiedeva alcuna interazione da parte dell’utente e non generava avvisi, lasciando i titolari degli account ignari dell’attacco in corso.
Fortunatanente, dopo la notifica da parte di Oasis Security, Microsoft ha implementato una soluzione permanente che ha introdotto meccanismi di limitazione sul rate più rigorosi e che si attivano dopo un certo numero di tentativi falliti durando per un lasso di tempo maggiore.
Raccomandazioni di sicurezza
Gli esperti di sicurezza raccomandano di:
– Imporre limiti sui tentativi di autenticazione falliti per prevenire attacchi di forza bruta.
– Monitorare i tentativi di MFA falliti e configurare avvisi per rilevare attività sospette.
– Rivedere e aggiornare continuamente le configurazioni di sicurezza per identificare e risolvere le vulnerabilità.
– Condurre formazione regolare per aiutare i dipendenti a comprendere l’importanza dell’MFA e come utilizzarlo efficacemente.