微软 MFA 现 AuthQuake 漏洞， 允许无限次暴力破解！

原创 技术修道场 技术修道场 2024-12-15 23:54

漏洞速递
  Oasis Security 的安全研究人员发现微软多因素身份验证 (MFA) 机制存在一个严重漏洞，允许攻击者绕过 MFA 保护， unauthorized access 受害者账户。

漏洞详情
– 漏洞名称:
 AuthQuake

• 漏洞描述:
   由于缺乏速率限制和一次性验证码的验证时间过长，攻击者可以快速创建新会话，并在不触发警报的情况下暴力破解六位验证码。

• 攻击方式:
   攻击者可以利用 TOTP 验证码的有效时间窗口 (微软 MFA 中长达 3 分钟)，同时发起多次暴力破解尝试，最终破解验证码。

• 危害:
   攻击者可以 unauthorized access 受害者账户，造成数据泄露、资金损失等严重后果。

漏洞修复

微软已于 2024 年 10 月修复了该漏洞，并实施了更严格的速率限制。

安全建议
– 加强 MFA 配置:
  MFA  的有效性取决于关键设置，例如速率限制和用户通知。企业应确保  MFA  配置正确，并启用相关安全功能。

• 提高安全意识:
    用户应提高安全意识，警惕可疑登录尝试，并及时更改密码。

• 使用强密码:
    使用强密码并定期更改，降低账户被暴力破解的风险。

作者点评

AuthQuake 漏洞的发现再次提醒我们，即使是 MFA  这样的安全机制也并非无懈可击。安全防护是一个持续改进的过程，企业和用户都需要不断加强安全意识，采取有效措施，保护账户安全。