概要：

• 微软MFA的漏洞被命名为AuthQuake，允许攻击者绕过安全措施并访问账户。
• 漏洞影响了Azure、Office 365和其他微软服务，超过4亿用户面临风险。
• 漏洞利用了登录会话中缺乏速率限制和TOTP代码延长有效性的问题。
• 攻击者可以在不到70分钟内以50%的成功率绕过MFA，无需用户交互。
• 微软于2024年10月9日永久修补了该漏洞，引入了更严格的速率限制机制。

Oasis Security的网络安全研究人员在微软的多因素认证（MFA）中识别了一个名为AuthQuake的漏洞，该漏洞允许攻击者绕过安全措施并获得对用户账户的未授权访问。

在超过4亿的付费Office 365订阅中，这个漏洞对于网络犯罪分子来说是一个极具吸引力的机会，他们可以窃取微软平台上的敏感信息，如电子邮件、文件和通信，包括Outlook、OneDrive、Teams、Azure等。

利用速率限制和基于时间的一次性密码（TOTP）

该漏洞利用了MFA设置中的两个关键弱点：缺乏速率限制和TOTP代码的延长时间框架。用户登录时，他们会被分配一个会话ID，并要求使用认证器应用中的基于时间的一次性密码（TOTP）来验证身份。问题是系统允许每个会话最多有10次失败的登录尝试，而不会通知用户或触发任何警报。

缺乏速率限制允许攻击者快速创建新的登录会话并尝试多个TOTP代码，这些代码本质上是六位数字。鉴于这些代码有百万种可能的组合，攻击者理论上可以在不遇到任何安全措施的情况下穷尽所有选项。
另一方面，TOTP代码通常只有效30秒，但Oasis的测试显示，系统允许代码保持有效长达3分钟。这个延长的时段显著提高了攻击者猜测正确代码的成功几率。

结果如何？

根据Oasis Security在12月11日周三发布前与Hackread.com分享的博客文章，研究人员得出结论，攻击者可以在不到70分钟内以50%的成功率绕过MFA，而无需任何用户交互或警报。

微软的回应

Oasis Security向微软报告了这一事件。这家科技巨头迅速做出回应，并在2024年7月4日部署了临时修复措施后，于2024年10月9日实施了永久修复。修复措施包括在多次失败尝试后引入更严格的速率限制，持续约半天时间。

Sectigo的高级研究员Jason Soroko强调了这一发现的更广泛影响，他说：“AuthQuake突显了微软MFA实现中的重大缺陷。这是对组织采用补丁并重新考虑对过时MFA解决方案依赖的警钟。走向无密码认证不仅是趋势，也是为了未来证明我们的安全措施的必要性。”

对用户和公司的教训

虽然特定的漏洞已经被修补，但组织应该通知员工网络安全的重要性，并鼓励他们报告任何可疑的登录尝试。此外，尽管最近出现了问题，MFA仍然是关键的安全措施，因此，使用认证器应用或探索更强的无密码方法以获得额外保护。