Критична уязвимост позовлява заобикаляне на многофакторното удостоверяване (MFA) на Microsoft Azure. По този начин нападателят получава неоторизиран достъп до акаунта на жертвата, включително до имейлите в Outlook, файловете в OneDrive, чатовете в Teams и др. Тя излага на риск от превземане над 400 милиона акаунта в Microsoft 365.
Уязвимостта идва от липсата на ограничение за броя и скоростта на опитите за влизане с MFA. Друг проблем е, че времето, с което разполага нападателят, за да отгатне паролата, е с 2,5 минути по-дълго от препоръчителното.
Всичко това позволява бързото изчерпване на общия брой опции за 6-цифрен код, който е 1 милион, предупреждават от Oasis Security. Още повече, че собствениците на акаунти не получават никакво предупреждение за тези опити за влизане в профила им.
Въпреки че MFA все още се счита за един от най-сигурните начини за защита на онлайн акаунти, никоя система не е 100% защитена.
За да повишите нивата на киберсигурност, ви съветваме да:
- използвате допълнителни приложения за автентикация;
- интегрирате методи, които не са базирани на парола, като Passkey;
- добавите възможност за уведомява потребителите за неуспешни опити за влизане чрез MFA;
Дизайнерите на MFA приложения трябва да:
- залагат ограничения на скоростта, които не позволяват безкрайни опити за влизане;
- въведат функционалност за заключване на акаунта след определен брой неуспешни комбинации.