Специалисты компании Oasis Security обнаружили критическую уязвимость в системе многофакторной аутентификации (MFA) Microsoft, получившую название AuthQuake. Данная брешь в безопасности позволяла злоумышленникам обходить защитный механизм MFA и получать несанкционированный доступ к корпоративным ресурсам Microsoft 365.
Механизм эксплуатации уязвимости
Уязвимость AuthQuake основана на недостатке в системе проверки шестизначных кодов MFA. При стандартной конфигурации система позволяет выполнить до 10 попыток ввода кода в рамках одной сессии. Исследователи обнаружили возможность проведения параллельных попыток аутентификации, что существенно ускоряло процесс подбора правильной комбинации цифр.
Технические особенности и масштаб угрозы
Каждый сгенерированный код MFA оставался действительным в течение трех минут, предоставляя злоумышленникам около 3% шанса успешного подбора комбинации. После истечения срока действия кода атакующие могли инициировать новую сессию и продолжить попытки. Тестирование показало, что после 24 сессий (примерно 70 минут) вероятность успешного подбора кода превышала 50%.
Последствия и затронутые сервисы
AuthQuake представляла серьезную угрозу для корпоративной безопасности, так как позволяла получить доступ к критически важным сервисам Microsoft:
- Электронная почта Outlook
- Облачное хранилище OneDrive
- Корпоративный мессенджер Teams
- Облачная платформа Azure
Реакция Microsoft и устранение уязвимости
После получения информации об уязвимости в конце июня, инженеры Microsoft оперативно выпустили временное исправление. В октябре было представлено полноценное обновление безопасности, существенно усилившее защиту системы MFA. По информации Oasis Security, новые меры защиты включают более строгие ограничения на количество попыток аутентификации с блокировкой доступа на длительный период после нескольких неудачных попыток.
Данный инцидент подчеркивает важность регулярного обновления систем безопасности и демонстрирует, что даже многофакторная аутентификация может иметь уязвимости. Организациям рекомендуется всегда поддерживать актуальность систем безопасности и применять комплексный подход к защите корпоративных ресурсов.
