微软的多因素认证(MFA)[出自:jiwo.org]

微软多因素认证（MFA）实施中的一个关键漏洞，攻击者可以绕过认证并获得未经授权的账户访问权限，包括Outlook邮件、OneDrive文件、Teams聊天、Azure云等。微软拥有超过4亿付费Office 365用户(https://www.microsoft.com/en-us/investor/events/fy-2024/earnings-fy-2024-q2)，这使得该漏洞的影响范围极其广泛。

绕过过程极其简单：执行大约需要一小时，无需用户交互，且不会产生任何通知或向账户持有人提供任何异常迹象。

发现漏洞后，Oasis向微软报告了该缺陷并合作解决。下面是关于该漏洞的详细信息、解决方案和经验教训。您可以阅读Oasis安全研究团队的完整报告(https://pages.oasis.security/rs/106-PZV-596/images/oasis-security-authquake-mfa-bypass.pdf?version=0)。

漏洞详情

---

当用户首次到达登录页面时，会被分配一个会话标识符。

输入有效的电子邮件和密码后，用户需要进一步验证身份。微软支持多种MFA方法(https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods)，包括使用验证器应用程序的验证码。使用此类应用程序，用户输入6位数验证码以完成身份验证。

对于单个会话，允许最多10次连续失败尝试。

→ 缺乏速率限制

通过快速创建新会话并枚举验证码，Oasis研究团队展示了一种可以快速耗尽6位数验证码（总共100万种可能性）的高速尝试方法。简单来说，攻击者可以同时执行多次尝试。

在此过程中，账户所有者不会收到关于大量连续失败尝试的任何警报，这使得该漏洞和攻击技术极其隐蔽。

→ 猜测单个验证码的时间范围

验证器应用程序的验证码是有时间限制的。那么攻击者有多长时间可以猜测单个验证码呢？

RFC-6238(https://datatracker.ietf.org/doc/html/rfc6238)是实施验证器应用程序的TOTP指南。该标准建议每30秒生成一个不同的验证码，大多数应用和验证器使用此设置。然而，考虑到验证器和用户之间可能存在的时间差和延迟，验证器被鼓励接受更大的验证码时间窗口，这同样符合RFC-6238指南。

简而言之，这意味着单个TOTP验证码可能有效的时间超过30秒。Oasis安全研究团队对微软登录系统的测试表明，对于单个验证码的容忍时间约为3分钟，即有效期过后仍延长2.5分钟，这实际上使得可尝试的次数增加了6倍。

考虑到允许的尝试速率，在这个扩展的时间范围内正确猜测验证码的概率为3%。恶意行为者很可能会继续运行更多会话直到猜中有效验证码。Oasis安全研究团队在测试过程中未遇到任何限制。

经过24个这样的会话（约70分钟），恶意行为者已经有超过50%的概率猜中有效验证码。这还未考虑在同一时间范围内生成的额外验证码，这将使得更多猜测的验证码变为有效。

70分钟后，我们已经超过了50%的猜中概率。

Oasis安全研究团队成功多次尝试了这种方法。下面是研究人员成功且较早猜中验证码的屏幕录像。

 成功绕过微软Azure多因素认证

解决方案

---

虽然具体细节属于保密范围，但我们可以确认微软引入了更严格的速率限制机制，在多次失败尝试后触发；这个严格的限制将持续约半天。

漏洞时间线和微软响应：

• 2024/06/24 - 微软确认问题
• 2024/07/04 - 微软部署临时修复
• 2024/10/09 - 微软部署永久修复

组织使用MFA的指南

---

→ 启用MFA

本文讨论的缺陷属于已在发布前修复的特定实施问题。启用MFA仍然是关键的网络安全最佳实践。使用验证器应用或更强的无密码方法。

→ 保持警惕，监控凭据泄露，定期更改密码

尽管MFA可以在凭据被泄露时保护用户，但正如这里展示的，验证过程中的实施缺陷可以快速使其失效。

→ 为MFA失败尝试添加邮件警报

一般来说，监控错误密码登录可能会产生大量噪音，特别是对于目标账户。然而，特别针对第二因素验证码的失败次数可以将噪音减少到仅那些已拥有正确密码的行为者，这些情况更为重要。此外，警报应发送给账户所有者，他们可以验证这些登录尝试是否由自己发起，从而在必要时立即采取行动。