12 月 15 日消息,安全公司 Oasis 发现微软 MFA 多重验证系统中存在一项 AuthQuake 重大漏洞。允许黑客通过穷举暴力破解验证码绕过验证流程从而访问用户账户,安全公司称,这一漏洞如果遭黑客利用,可能带来广泛影响。
参考报告获悉,这一漏洞主要涉及微软多重认证的账号验证器动态码系统,在正常情况下,如果用户要在 PC 网页端登录微软账号,需要通过手机上绑定了微软账号的验证器 App 生成 6 位动态验证码(OTP),在时效内输入以完成认证。如果用户连续输入错误超过 10 次,系统将暂时禁止用户登录。
然而研究人员发现,这一认证机制实际缺乏对验证频率的限制,也就是黑客如果使用大型计算机,直接在账号系统验证手机 App 上动态验证码的这一小段时间中通过快速生成新会话(Session),在短时间内穷举尝试所有可能的验证密码排列组合(共计 100 万种),即可成功暴力破解认证机制,接管用户账号。
研究人员表示,他们已利用该漏洞成功绕过 MFA 多重验证流程,整项测试过程大约持续一小时,同时系统也未向受害者发出任何警告。Oasis 已于今年 6 月下旬向微软通报了这一问题。在双方合作下,微软分别于 7 月和 10 月对漏洞进行了修复和缓解。
研究人员提到,微软账号系统出现如此问题的原因是该公司在设计验证手机 App 验证码时考虑到相关动态密码每 30 秒就会刷新一次,而认证系统与用户访问时间实际存在延迟,因此延长了验证码的有效时长,最长可达 3 分钟。这一设计给黑客提供了暴力破解机会。