研究者らは、Microsoft Azure の多要素認証 (MFA) システムに重大な脆弱性を発見し、1 時間以内にユーザー アカウントへの不正アクセスが可能になってしまいました。 Oasis Security によって発見されたこの欠陥により、4 億を超える Microsoft 365 アカウントがアカウント乗っ取りの危険にさらされ、そのリスクは Outlook、OneDrive、Teams、および Azure クラウド サービスにまで及びました。この脆弱性は、失敗した MFA 試行に対するレート制限がないために発生し、攻撃者がユーザーに警告することなくシステムを悪用できるようになります。
Microsoft AzureのMFAの重大な脆弱性により4億アカウントが暴露される
「AuthQuake」と呼ばれる特定されたバイパス方法により、研究者はコードを列挙しながら新しいセッションを迅速に作成できるようになりました。 Oasis の研究エンジニアである Tal Hason 氏は、この手法では多数のサインイン試行を同時に実行する必要があり、6 桁のコードのオプションがすぐに使い果たされてしまうと説明しました。アカウント所有者は不審なアクティビティに関する通知を受け取らなかったため、攻撃は慎重に行われました。
この欠陥により、ハッカーは Internet Engineering Task Force の RFC-6238 が推奨する標準の有効期限よりもはるかに長い期間、コードを推測することができました。通常、時間ベースのワンタイム パスワード (TOTP) は 30 秒後に期限切れになるはずですが、Oasis の分析によれば、Microsoft のコードは約 3 分間有効なままでした。これにより、推測が成功する可能性が大幅に高まり、攻撃者は延長された時間枠内でコードを解読できる可能性が 3% になりました。
2024 年 7 月 4 日に、Oasis は Microsoft にこの脆弱性について通知し、同社は 6 月にこの脆弱性を認めましたが、恒久的な修正は 2024 年 10 月 9 日まで実装されませんでした。この解決策には、指定された試行回数が失敗した後にトリガーされるレート制限の厳格化が含まれていました。 。組織は、潜在的な攻撃に対する保護を強化する認証アプリやパスワードレスの方法を使用してセキュリティを強化することが推奨されます。
この事件は、MFA を利用する組織がベスト プラクティスを採用する必要性を強調しています。専門家は、組織が悪意のあるアクティビティを早期に検出できるように、失敗した認証試行に対するアラートを実装することを推奨しています。進行中の脆弱性を特定するには、セキュリティ設定を定期的に確認することが不可欠です。
さらに、セキュリティ専門家は、アカウントの堅牢な衛生管理の一環として、一貫したパスワード変更の重要性を強調しています。この攻撃のステルス性は、MFA が侵害された場合、重要なセキュリティ対策から攻撃ベクトルにどのように移行する可能性があるかを示しています。したがって、専門家は、特に新規導入の場合、パスワードレスの認証ソリューションへの移行を提唱しています。
サイバーセキュリティに関与するさまざまな組織は、広く受け入れられているセキュリティ慣行であっても、特定の状況下では脆弱であることに留意し、この事件から学び続けています。事件の捜査が進むにつれて、MFA の実施における継続的な警戒の重要性は依然として明らかです。
注目の画像クレジット: Ed Hardie/Unsplash
この MFA の欠陥により、Office 365 ユーザーは数カ月にわたってサイバー攻撃にさらされたという投稿は、TechBriefly に最初に掲載されました。
Source: この MFA の欠陥により、Office 365 ユーザーは数カ月にわたってサイバー攻撃にさらされた状態になりました
