微軟 MFA 多重驗證曝 AuthQuake 重大漏洞，黑客可暴力窮舉破解動態(tài)碼登錄系統(tǒng)

IT之家 12 月 15 日消息，安全公司 Oasis 發(fā)現(xiàn)微軟 MFA 多重驗證系統(tǒng)中存在一項 AuthQuake 重大漏洞。允許黑客通過窮舉暴力破解驗證碼繞過驗證流程從而訪問用戶賬戶，安全公司稱，這一漏洞如果遭黑客利用，可能帶來廣泛影響。

IT之家參考報告獲悉，這一漏洞主要涉及微軟多重認證的賬號驗證器動態(tài)碼系統(tǒng)，在正常情況下，如果用戶要在 PC 網(wǎng)頁端登錄微軟賬號，需要通過手機上綁定了微軟賬號的驗證器 App 生成 6 位動態(tài)驗證碼（OTP），在時效內(nèi)輸入以完成認證。如果用戶連續(xù)輸入錯誤超過 10 次，系統(tǒng)將暫時禁止用戶登錄。

然而研究人員發(fā)現(xiàn)，這一認證機制實際缺乏對驗證頻率的限制，也就是黑客如果使用大型計算機，直接在賬號系統(tǒng)驗證手機 App 上動態(tài)驗證碼的這一小段時間中通過快速生成新會話（Session），在短時間內(nèi)窮舉嘗試所有可能的驗證密碼排列組合（共計 100 萬種），即可成功暴力破解認證機制，接管用戶賬號。

研究人員表示，他們已利用該漏洞成功繞過 MFA 多重驗證流程，整項測試過程大約持續(xù)一小時，同時系統(tǒng)也未向受害者發(fā)出任何警告。Oasis 已于今年 6 月下旬向微軟通報了這一問題。在雙方合作下，微軟分別于 7 月和 10 月對漏洞進行了修復和緩解。

研究人員提到，微軟賬號系統(tǒng)出現(xiàn)如此問題的原因是該公司在設(shè)計驗證手機 App 驗證碼時考慮到相關(guān)動態(tài)密碼每 30 秒就會刷新一次，而認證系統(tǒng)與用戶訪問時間實際存在延遲，因此延長了驗證碼的有效時長，最長可達 3 分鐘。這一設(shè)計給黑客提供了暴力破解機會。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。