Основы Интернет - технологий.

Компания Oasis Security раскрыла детали атаки, которая позволяла обойти многофакторную аутентификацию (МФА) Microsoft. Атака получила название AuthQuake, и связанная с ней уязвимость была обнаружена еще в конце июня текущего года. Согласно данным экспертов, уязвимость была признана критической и позволяла злоумышленникам обходить МФА Microsoft, получать доступ к учетным записям (при условии, что атакующие уже знали имя пользователя и пароль). Обход МФА мог применяться для получения доступа к электронной почте Outlook, файлам OneDrive, чатам Teams и облачным инстансам Azure. При этом AuthQuake опасна тем, что на ее выполнение уходит (в среднем) всего один час, она не требует никакого взаимодействия с пользователем и во время атаки жертва не получает никаких предупреждений. Суть проблемы заключалась в том, что при использовании приложения-аутентификатора для получения шестизначного кода для МФА, одна сессия позволяет выполнить до 10 неудачных попыток ввода, что должно предотвратить брутфорс-атаки. Однако исследователи обнаружили, что злоумышленник может выполнять несколько попыток ввода одновременно, что позволяет ему очень быстро перебирать возможные комбинации. Во время проведенных тестов выяснилось, что каждый МФА-код, сгенерированный приложением, действителен в течение примерно трех минут. Это означает, что у злоумышленника есть примерно трехпроцентный шанс угадать правильную комбинацию. А по истечении трех минут атакующий может инициировать новую сессию, и повторять этот процесс до тех пор, пока не подберет правильный код. Тесты показали, что вероятность угадать код после 24 сессий (которые заняли около 70 минут) превышала 50%, а в некоторых случаях код удавалось подобрать намного быстрее, как показано в этом видео, демонстрирующем эксплоит в действии. В настоящее время уязвимость уже устранена. Так, инженеры Microsoft выпустили временную «заплатку» еще в конце июня, когда только узнали о проблеме, а в октябре для AuthQuake вышел полноценный патч. Исследователи Oasis Security пишут, что не имеют права раскрывать детали исправления, но могут подтвердить, что «Microsoft ввела гораздо более строгие ограничения, которые срабатывают после нескольких неудачных попыток, и эти строгие ограничения потом длятся примерно полдня».