I ricercatori hanno identificato una vulnerabilità critica nel sistema di autenticazione a più fattori (MFA) di Microsoft Azure, consentendo l’accesso non autorizzato agli account utente in meno di un’ora. Questa falla, scoperta da Oasis Security, ha esposto più di 400 milioni di account Microsoft 365 a potenziali furti di account, con rischi che si estendono a Outlook, OneDrive, Teams e ai servizi cloud di Azure. La vulnerabilità è derivata dalla mancanza di limitazione della velocità per i tentativi di MFA falliti, consentendo agli aggressori di sfruttare il sistema senza avvisare gli utenti.
Una vulnerabilità critica nell’MFA di Microsoft Azure espone 400 milioni di account
Il metodo di bypass identificato, soprannominato “AuthQuake”, ha consentito ai ricercatori di creare rapidamente nuove sessioni enumerando i codici. Tal Hason, un ingegnere ricercatore dell’Oasis, spiegato che la tecnica prevedeva l’esecuzione simultanea di numerosi tentativi di accesso, esaurendo rapidamente le opzioni per un codice a 6 cifre. L’attacco è rimasto discreto, poiché i proprietari degli account non hanno ricevuto notifiche sulle attività sospette.
La falla ha consentito agli hacker di indovinare i codici per un periodo molto più lungo rispetto al periodo di scadenza standard raccomandato dalla RFC-6238 della Internet Engineering Task Force. In genere, le password monouso basate sul tempo (TOTP) dovrebbero scadere dopo 30 secondi, ma l’analisi di Oasis ha indicato che i codici Microsoft sono rimasti validi per circa tre minuti. Ciò ha aumentato significativamente la probabilità di successo delle ipotesi, consentendo agli aggressori una probabilità del 3% di violare il codice in un intervallo di tempo prolungato.
Il 4 luglio 2024, Oasis ha informato Microsoft della vulnerabilità e, sebbene la società l’abbia riconosciuta a giugno, una soluzione permanente non è stata implementata fino al 9 ottobre 2024. La risoluzione includeva limiti di velocità più severi che si sarebbero attivati dopo un numero specificato di tentativi falliti. . Le organizzazioni sono incoraggiate a migliorare la sicurezza utilizzando app di autenticazione o metodi senza password, che forniscono una maggiore protezione contro potenziali attacchi.
L’incidente sottolinea la necessità per le organizzazioni che utilizzano l’AMF di adottare le migliori pratiche. Gli esperti consigliano di implementare avvisi per i tentativi di autenticazione falliti, consentendo alle organizzazioni di rilevare tempestivamente attività dannose. Le revisioni regolari delle impostazioni di sicurezza sono fondamentali per identificare le vulnerabilità attuali.
Inoltre, gli specialisti della sicurezza sottolineano l’importanza di modifiche coerenti delle password come parte di una solida igiene dell’account. La segretezza dell’attacco illustra come l’MFA, una volta compromessa, possa passare da una misura di sicurezza significativa a un vettore di attacco. Di conseguenza, gli esperti sostengono uno spostamento verso soluzioni di autenticazione senza password, in particolare per le nuove implementazioni.
Varie organizzazioni coinvolte nella sicurezza informatica continuano a imparare da questo incidente, sottolineando che anche le pratiche di sicurezza ampiamente accettate sono vulnerabili in determinate circostanze. Con il progredire delle indagini sull’incidente, rimane chiara l’importanza di una vigilanza costante nell’attuazione dell’AMF.
Credito immagine in primo piano: Ed Hardie/Unsplash
Il post Questo difetto MFA ha lasciato gli utenti di Office 365 completamente esposti agli attacchi informatici per mesi è apparso per la prima volta su TechBriefly.
