Фахівці з кібербезпеки компанії Oasis Security виявили серйозну вразливість у системі багатофакторної автентифікації (MFA) Microsoft, яка отримала назву AuthQuake. Ця критична вразливість дозволяла зловмисникам успішно обходити механізми захисту MFA та отримувати несанкціонований доступ до корпоративних сервісів Microsoft 365.
Технічний аналіз вразливості AuthQuake
Вразливість базується на недоліках реалізації системи верифікації шестизначних кодів MFA. При стандартних налаштуваннях система допускає до 10 спроб введення коду в межах однієї сесії. Дослідники виявили можливість проведення паралельних спроб автентифікації, що значно підвищувало ймовірність підбору правильної комбінації цифр. Кожен згенерований код залишається дійсним протягом 180 секунд, що надає зловмисникам 3% шанс успішного підбору за одну сесію.
Масштаби загрози та потенційні наслідки
Експериментальні дослідження показали, що після проведення 24 послідовних сесій (приблизно 70 хвилин) ймовірність успішного підбору коду перевищувала 50%. Особливу небезпеку становить можливість компрометації критично важливих корпоративних сервісів, включаючи:
- Корпоративну електронну пошту Outlook
- Хмарне сховище OneDrive
- Платформу для спільної роботи Teams
- Хмарну інфраструктуру Azure
Заходи реагування та виправлення вразливості
Після отримання повідомлення про вразливість наприкінці червня, команда безпеки Microsoft оперативно розробила тимчасове рішення. У жовтні було випущено повноцінне оновлення безпеки, яке суттєво посилило захист системи MFA. Нові захисні механізми включають більш жорсткі обмеження на кількість спроб автентифікації та впровадження тривалого блокування доступу після серії невдалих спроб.
Виявлення вразливості AuthQuake демонструє необхідність постійного вдосконалення навіть найнадійніших механізмів захисту. Організаціям рекомендується регулярно оновлювати системи безпеки, проводити аудит налаштувань MFA та впроваджувати багаторівневий підхід до захисту корпоративних ресурсів. Особливу увагу слід приділяти моніторингу спроб автентифікації та швидкому реагуванню на підозрілу активність у системах доступу.
