Sicherheitsforscher von Oasis Security haben eine kritische Schwachstelle in Microsofts Mehrfaktorauthentifizierung (MFA) aufgedeckt. Die als „AuthQuake“ bezeichnete Sicherheitslücke ermöglichte es Angreifern, den MFA-Schutzmechanismus zu umgehen und sich unbefugten Zugang zu Microsoft 365-Unternehmensressourcen zu verschaffen.
Technische Details der AuthQuake-Schwachstelle
Die Sicherheitslücke basiert auf einer Schwäche im Verifizierungssystem der sechsstelligen MFA-Codes. In der Standardkonfiguration erlaubte das System bis zu 10 Eingabeversuche pro Authentifizierungssitzung. Sicherheitsforscher entdeckten die Möglichkeit, mehrere parallele Authentifizierungsversuche durchzuführen, wodurch die Wahrscheinlichkeit einer erfolgreichen Code-Ermittlung signifikant erhöht wurde.
Erfolgswahrscheinlichkeit und Zeitfaktor
Die generierten MFA-Codes blieben jeweils drei Minuten gültig, was Angreifern eine 3-prozentige Erfolgswahrscheinlichkeit pro Versuch bot. Nach Ablauf der Gültigkeitsdauer konnten Angreifer eine neue Sitzung starten und weitere Versuche unternehmen. Analysen zeigten, dass nach etwa 24 Sitzungen (ca. 70 Minuten) die Erfolgswahrscheinlichkeit auf über 50 Prozent anstieg.
Betroffene Microsoft-Dienste und Sicherheitsrisiken
Die AuthQuake-Schwachstelle gefährdete zentrale Microsoft-Unternehmensdienste:
- Microsoft Outlook (E-Mail-Dienst)
- OneDrive for Business (Cloud-Speicher)
- Microsoft Teams (Kommunikationsplattform)
- Azure-Plattform (Cloud-Services)
Microsofts Reaktion und Implementierte Sicherheitsmaßnahmen
Nach der Meldung der Schwachstelle Ende Juni reagierte Microsoft umgehend mit einem temporären Patch. Im Oktober wurde ein umfassendes Sicherheitsupdate veröffentlicht, das die MFA-Systemsicherheit deutlich verstärkt. Die neuen Schutzmaßnahmen beinhalten strikte Begrenzungen der Authentifizierungsversuche sowie längere Sperrzeiten nach fehlgeschlagenen Anmeldeversuchen.
Der AuthQuake-Vorfall unterstreicht die Notwendigkeit kontinuierlicher Sicherheitsüberprüfungen selbst bei etablierten Authentifizierungssystemen. Unternehmen wird dringend empfohlen, ihre Sicherheitssysteme regelmäßig zu aktualisieren und einen mehrschichtigen Sicherheitsansatz zu implementieren. Dies umfasst neben der MFA auch weitere Sicherheitsmaßnahmen wie Zugriffskontrollen, Netzwerksegmentierung und regelmäßige Sicherheitsaudits.
