微软 MFA 多重验证出现致命漏洞,黑客或可轻松破解动态码登录
微软MFA安全漏洞曝光:黑客或可绕过动态码轻松入侵账户
数界探索
12月15日的消息,安全公司Oasis发现微软的MFA(多重身份验证)系统中存在一个名为AuthQuake的重大漏洞。该漏洞让黑客可以通过暴力破解验证码的方式绕过验证流程,进而访问用户的账户。据安全公司透露,一旦这个漏洞被黑客利用,可能会造成广泛的影响。
根据报告了解到的信息,该漏洞主要影响了微软的多重认证账号验证器动态码系统。通常情况下,如果用户想在PC网页端登录微软账号,需要通过手机上的验证器App生成一个6位动态验证码(OTP),并在有效期内正确输入以完成身份验证。若用户连续输入错误超过10次,系统将会暂时阻止其登录。
然而研究人员发现,这一认证机制实际缺乏对验证频率的限制,也就是黑客如果使用大型计算机,直接在账号系统验证手机 App 上动态验证码的这一小段时间中通过快速生成新会话(Session),在短时间内穷举尝试所有可能的验证密码排列组合(共计 100 万种),即可成功暴力破解认证机制,接管用户账号。
研究人员称,他们已经利用该漏洞成功绕过了MFA多重身份验证流程,整个测试过程耗时约一小时,并且在此期间系统没有向受害者发出任何警告。Oasis公司已于今年6月下旬向微软报告了这个问题。在双方的合作下,微软分别于7月和10月对这个漏洞进行了修复和缓解。
研究人员指出,微软账号系统存在的问题在于其设计验证手机App验证码时,考虑到动态密码每30秒刷新一次,但由于认证系统与用户访问时间之间存在延迟,因此将验证码的有效期延长到了最长3分钟。这一设计虽然提高了用户体验,但同时也为黑客提供了进行暴力破解的机会。 从安全角度来看,这种延长验证码有效期的设计虽然能够减少用户的不便,却在一定程度上增加了系统的风险。尽管3分钟的有效期看似短暂,但对于自动化工具来说,这已经足够尝试多次攻击。微软需要重新评估这种权衡,在保障用户体验的同时,采取更加严密的安全措施来防止潜在的攻击。例如,可以考虑引入更复杂的验证机制,或是限制同一账号在短时间内请求验证码的次数,从而在保证用户便利性的同时提高系统的安全性。