Εκατομμύρια λογαριασμοί του Office 365 ευάλωτοι μετά από συγκλονιστική παράκαμψη MFA

Μια κρίσιμη ευπάθεια στο σύστημα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) της Microsoft έχει αφήσει εκατομμύρια λογαριασμούς εκτεθειμένους σε μη εξουσιοδοτημένη πρόσβαση. Ανακαλύφθηκε από την Oasis Security, το ελάττωμα επιτρέπει στους εισβολείς να παρακάμψουν το MFA, επηρεάζοντας περισσότερους από 400 εκατομμύρια χρήστες του Office 365 επί πληρωμή. Η εκμετάλλευση αυτής της αδυναμίας επιτρέπει την πρόσβαση σε υπηρεσίες όπως το Outlook, το OneDrive και το Azure Cloud με ελάχιστη προσπάθεια. Η Microsoft έχει επιβεβαιώσει το πρόβλημα και έχει εφαρμόσει διορθώσεις.

Η ευπάθεια MFA της Microsoft εκθέτει εκατομμύρια σε μη εξουσιοδοτημένη πρόσβαση

Η ευπάθεια περιστρέφεται γύρω από το σύστημα κωδικού πρόσβασης μίας χρήσης (TOTP) που βασίζεται στον χρόνο. Οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν ανεπαρκείς μηχανισμούς περιορισμού του ρυθμού, δίνοντάς τους τη δυνατότητα να μαντεύουν επανειλημμένα εξαψήφιους κωδικούς. Οι χρήστες είχαν στη διάθεσή τους έως και τρία λεπτά – σημαντικά μεγαλύτερο από το τυπικό διάστημα των 30 δευτερολέπτων – κατά τη διάρκεια των οποίων αυτοί οι κωδικοί παρέμειναν σε ισχύ. Αυτό αύξησε σημαντικά την πιθανότητα μιας επιτυχημένης επίθεσης: οι εισβολείς μπορούσαν να επιτύχουν ποσοστό επιτυχίας άνω του 50% μέσα σε περίπου 70 λεπτά ξεκινώντας πολλαπλές συνεδρίες.

Στο ανάρτηση ιστολογίου Αναλύοντας τα ευρήματα, οι ερευνητές του Oasis περιέγραψαν λεπτομερώς τη μέθοδο εκμετάλλευσής τους, την οποία ονόμασαν “AuthQuake”. Έλεγξαν το ελάττωμα δημιουργώντας γρήγορα νέες περιόδους σύνδεσης και απαριθμώντας κωδικούς, επιδεικνύοντας υψηλό ποσοστό ταυτόχρονων προσπαθειών που θα μπορούσαν να εξαντλήσουν γρήγορα τους πιθανούς εξαψήφιους συνδυασμούς. Αυτές οι τακτικές εκτελέστηκαν χωρίς παρεμβολές ή ειδοποιήσεις χρήστη, καθιστώντας τη μέθοδο επίθεσης διακριτική.

Αφού ενημερώθηκε για την ευπάθεια, η Microsoft κυκλοφόρησε μια προσωρινή ενημέρωση κώδικα στις 4 Ιουλίου 2024, ακολουθούμενη από μια μόνιμη λύση στις 9 Οκτωβρίου 2024. Η τελευταία ενσωμάτωσε αυστηρότερα όρια ποσοστού που μειώνουν τον αριθμό των προσπαθειών που μπορεί να κάνει ένας εισβολέας σε ένα δεδομένο χρονικό πλαίσιο , ενισχύοντας τα μέτρα ασφαλείας έναντι τέτοιων εκμεταλλεύσεων.

Παρά την επίλυση αυτού του συγκεκριμένου ελαττώματος, οι ειδικοί σε θέματα ασφάλειας υπογραμμίζουν την κρίσιμη ανάγκη για συνεχή επαγρύπνηση. Οι συστάσεις για οργανισμούς που χρησιμοποιούν MFA περιλαμβάνουν την επιβολή ειδοποιήσεων για αποτυχημένες προσπάθειες ελέγχου ταυτότητας και τον τακτικό έλεγχο των διαμορφώσεων ασφαλείας για τον εντοπισμό πιθανών τρωτών σημείων. Ο Kris Bondi, Διευθύνων Σύμβουλος της Mimoto, τόνισε τη σημασία της αντιμετώπισης της MFA ως ελάχιστης αποδεκτής πρακτικής και όχι ως μέτρο ασφαλείας τελευταίας τεχνολογίας. Ανέφερε ότι ακόμη και όταν το MFA λειτουργεί σωστά, επαληθεύει μόνο το τελικό σημείο σε μια δεδομένη στιγμή, χωρίς απαραίτητα να επιβεβαιώνει την ταυτότητα του χρήστη.

Το Microsoft Teams θα σταματήσει να λειτουργεί σε παλαιότερες εκδόσεις των Windows και του macOS

Οι ειδικοί συμβουλεύουν επίσης να μην βασίζεστε σε απαρχαιωμένες λύσεις MFA. Ο Jason Soroko, ανώτερος συνεργάτης στο Sectigo, επανέλαβε το συναίσθημα, τονίζοντας την ανάγκη οι οργανισμοί να υιοθετήσουν ενημερωμένες ενημερώσεις κώδικα και να εξετάσουν το ενδεχόμενο να προχωρήσουν σε λύσεις ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης για νέες υλοποιήσεις.

Οι αναδυόμενες βέλτιστες πρακτικές περιλαμβάνουν την ενσωμάτωση ειδοποιήσεων αλληλογραφίας για την ειδοποίηση των χρηστών για ανεπιτυχείς προσπάθειες MFA, διασφαλίζοντας παράλληλα ότι τα συστήματα MFA επιβάλλουν όρια τιμών που αποτρέπουν αόριστες δοκιμές εισόδου. Οι οργανισμοί καλούνται επίσης να εφαρμόσουν μέτρα που κλειδώνουν λογαριασμούς μετά από πολυάριθμες αποτυχημένες προσπάθειες να αποτρέψουν πιθανούς εισβολείς.

Πίστωση επιλεγμένης εικόνας: Ed Hardie/Unsplash