Бързи новини

Критична уязвимост в MFA на Azure излага на риск над 400 милиона акаунта в Microsoft 365

Критична уязвимост позовлява заобикаляне на многофакторното удостоверяване (MFA) на Microsoft Azure. По този начин нападателят получава неоторизиран достъп до акаунта на жертвата, включително до имейлите в Outlook, файловете в OneDrive, чатовете в Teams и др. Тя излага на риск от превземане над 400 милиона акаунта в Microsoft 365.

Уязвимостта идва от липсата на ограничение за броя и скоростта на опитите за влизане с MFA. Друг проблем е, че времето, с което разполага нападателят, за да отгатне паролата, е с 2,5 минути по-дълго от препоръчителното.

Всичко това позволява бързото изчерпване на общия брой опции за 6-цифрен код, който е 1 милион, предупреждават от Oasis Security. Още повече, че собствениците на акаунти не получават никакво предупреждение за тези опити за влизане в профила им.

Въпреки че MFA все още се счита за един от най-сигурните начини за защита на онлайн акаунти, никоя система не е 100% защитена.

За да повишите нивата на киберсигурност, ви съветваме да:

  • използвате допълнителни приложения за автентикация;
  • интегрирате методи, които не са базирани на парола, като Passkey;
  • добавите възможност за уведомява потребителите за неуспешни опити за влизане чрез MFA;

Дизайнерите на MFA приложения трябва да:

  • залагат ограничения на скоростта, които не позволяват безкрайни опити за влизане;
  • въведат функционалност за заключване на акаунта след определен брой неуспешни комбинации.
Източник
Darkreading.com
Покажи още
Back to top button