AuthQuake – atak pozwalający ominąć MFA Microsoftu

Metoda ataku została nazwana AuthQuake. Jak to w bezpieczeństwie bywa, ujawnienie szczegółów ataku zostało poprzedzone znacznie wcześniejszym zgłoszeniem luki do producenta. Microsoft otrzymał informacje pod koniec czerwca, a tymczasowa poprawka została wdrożona kilka dni później. Stała poprawka wyszła w październiku.

Według Oasis luka, którą opisano jako krytyczną, mogła umożliwić atakującym ominięcie uwierzytelniania wieloskładnikowego Microsoft i w konsekwencji uzyskanie dostępu do kont – pod warunkiem, że atakujący znał nazwę i hasło celu.

Firma zauważyła, że obejście uwierzytelniania wieloskładnikowego mogło zostać wykorzystane w celu uzyskania dostępu do wiadomości e-mail Outlook, plików OneDrive, czatów Teams i wystąpień w chmurze Azure. Jednocześnie podkreśliła fakt, że Microsoft niedawno zgłosił posiadanie ponad 400 milionów płatnych stanowisk pakietu Office 365, których omawiana podatność dotyczyła.

Oasis stwierdziło, że atak AuthQuake był niebezpieczny, ponieważ jego wykonanie zajmowało średnio tylko godzinę, nie wymagało żadnej interakcji użytkownika i nie generowało żadnych powiadomień.

Podczas korzystania z aplikacji uwierzytelniającej w celu uzyskania sześciocyfrowego kodu potrzebnego do MFA w momencie próby logowania, jedna sesja obsługuje do 10 nieudanych prób. To ograniczenie ma oczywiście zapobiec atakowi brute force.

Jednak badacze z Oasis odkryli, że atakujący może wykonać wiele prób jednocześnie, co pozwala mu stosunkowo szybko przejść przez możliwe kombinacje.

W testach specjaliści wykazali, że każdy kod MFA wygenerowany przez aplikację jest ważny przez około trzy minuty, co oznacza 3% szansy, że atakujący odgadnie prawidłową kombinację. Po upływie trzech minut atakujący mógł zainicjować kolejną sesję, a proces był powtarzany do momentu trafienia na właściwy kod. Ofiara nie widziała w tym czasie żadnych oznak ataku.

Testy wykazały, że szanse na odgadnięcie prawidłowego kodu po 24 sesjach (które łącznie trwały około 70 minut) przekroczyły 50%. W niektórych przypadkach kod był jednak odgadywany znacznie szybciej, jak pokazano na poniższym filmie prezentującym exploit w akcji.

Odnośnie do poprawki Microsoftu Oasis zauważyło:

„Chociaż szczegółowe informacje na temat zmian są poufne, możemy potwierdzić, że Microsoft wprowadził znacznie bardziej rygorystyczny limit szybkości, który zaczyna obowiązywać po kilku nieudanych próbach, a ścisły limit trwa około pół dnia”.