Lỗ hổng Microsoft MFA AuthQuake cho phép thực hiện các cuộc tấn công Brute-Force mà không gây cảnh báo

Các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng trong cơ chế Multi-Factor Authentication (MFA) của Microsoft, cho phép kẻ tấn công vượt qua lớp bảo vệ này và truy cập trái phép vào tài khoản của nạn nhân. 

Lỗ hổng này có tên AuthQuake, được nhóm nghiên cứu Oasis Security báo cáo và đã được Microsoft khắc phục vào tháng 10/2024.

Cuộc tấn công được thực hiện dễ dàng trong vòng 1 giờ, không yêu cầu sự tương tác từ nạn nhân, và không để lại bất kỳ cảnh báo hoặc thông báo nào về các nỗ lực đăng nhập thất bại.

Microsoft MFA yêu cầu người dùng nhập mã 6 chữ số từ ứng dụng xác thực sau khi cung cấp thông tin đăng nhập. Tuy nhiên, lỗ hổng xuất hiện từ hai vấn đề chính:

  1. Không giới hạn số lần thử mã (Rate-Limiting): Kẻ tấn công có thể thực hiện brute-force, thử tất cả 1 triệu tổ hợp mã mà không bị ngăn chặn.
  2. Thời gian hiệu lực mã kéo dài: Thông thường, mã xác thực (TOTP) chỉ có hiệu lực trong 30 giây. Tuy nhiên, Microsoft cho phép mã này hoạt động trong thời gian lên đến 3 phút, tạo điều kiện cho nhiều cuộc thử mã đồng thời.

Mã TOTP được tạo dựa trên thời gian hiện tại và chỉ nên có hiệu lực trong khoảng ngắn để hạn chế rủi ro. Tuy nhiên, khoảng thời gian hiệu lực dài của Microsoft khiến hệ thống trở thành mục tiêu dễ bị khai thác.

Lỗ hổng AuthQuake mở ra cơ hội để kẻ tấn công thực hiện các cuộc tấn công brute-force mà không bị phát hiện. Điều này khiến tài khoản của người dùng, đặc biệt là các tài khoản chứa thông tin nhạy cảm hoặc quyền truy cập cao, dễ bị xâm nhập.

Việc không giới hạn số lần thử mã và thiếu cảnh báo đăng nhập thất bại khiến người dùng không thể phát hiện ra các nỗ lực xâm nhập cho đến khi tài khoản bị chiếm đoạt.

Microsoft đã áp dụng các biện pháp vá lỗi để khắc phục lỗ hổng này, bao gồm:

  1. Áp dụng giới hạn số lần thử mã (Rate-Limiting): Giới hạn số lần nhập mã sai, sau đó kích hoạt khóa tạm thời trong vòng nửa ngày.
  2. Cảnh báo đăng nhập thất bại: Đảm bảo rằng người dùng nhận được thông báo về các phiên đăng nhập đáng ngờ.

Ngoài ra, các chuyên gia bảo mật khuyến nghị rằng Microsoft nên bổ sung cơ chế khóa tài khoản sau một số lần thử mã không thành công để tăng cường bảo vệ.

Nguồn: The Hacker News