Forscher zeigen, dass die 2FA-Umgehung der Bedrohung keine Benutzerinteraktion erfordert
Sicherheitsforscher haben enthüllt, wie sie eine kritische Microsoft-Schwachstelle in der Zwei-Faktor-Authentifizierung entdeckt haben, die Benutzer vor Hackerangriffen schützen soll. Durch die Sicherheitslücke, die Microsoft inzwischen behoben hat, sind 400 Millionen Benutzer von Office 365 dem Risiko eines 2FA-Bypass-Angriffs ausgesetzt, der keine Benutzerinteraktion erfordert, keine Warnungen auslöst und nur eine Stunde dauert. Folgendes müssen Sie wissen:
Die Microsoft 2FA-Bypass-Sicherheitslücke erklärt
A neuer Bericht von Oasis Security ist auf technische Details eingegangen, wie es Forschern gelungen ist, eine kritische Sicherheitslücke bei der Umgehung der Zwei-Faktor-Authentifizierung auszuschließen, die potenziell Auswirkungen auf Microsoft-Konten hatte, die den Zugriff auf Outlook-E-Mails, OneDrive-Dateien, Teams-Chats und die Azure Cloud ermöglichten. „Microsoft verfügt über mehr als 400 Millionen kostenpflichtige Office 365-Lizenzen“, warnten die Forscher, „was die Folgen dieser Schwachstelle weitreichend macht.“
In der Tat weitreichend, doch der eigentliche Exploit selbst war erschreckend einfach: Er umging ein Code-Fehlerratenlimit von 10 Versuchen, um es einem Angreifer zu ermöglichen, viele Versuche gleichzeitig auszuführen, sodass die Forscher die Gesamtzahl der Optionen für einen Code schnell ausschöpfen konnten 6-stelliger Zwei-Faktor-Authentifizierungscode.
„Die Grenze von 10 aufeinanderfolgenden Fehlern wurde nur auf das temporäre Sitzungsobjekt angewendet“, erklärten die Forscher, „das durch Wiederholen des beschriebenen Prozesses wiederhergestellt werden kann, ohne dass es eine ausreichende Ratenbegrenzung gibt.“ Was die Sache noch schlimmer, sogar noch schlimmer machte, war, dass der Kontoinhaber während dieses Angriffsprozesses nicht per E-Mail oder anderen Alarmierungsmechanismen über fehlgeschlagene Versuche informiert wurde, sodass der Angreifer unauffällig bleiben und nach Belieben weitermachen konnte.
Oasis meldete den Fehler an Microsoft, das die Schwachstelle am 24. Juni bestätigte und am 9. Oktober einen dauerhaften Fix bereitstellte. Die Oasis-Forscher sagten, dass die vollständigen Details des Fixes vertraulich bleiben, bestätigten jedoch, dass eine strengere 2FA-Fehlerratengrenze eingeführt wurde. Ich habe Microsoft um eine Stellungnahme gebeten.
Diese Art von Exploit ist nicht nur auf Microsoft beschränkt, da 2FA-Bypass-Angriffe auf den meisten gängigen Plattformen alles andere als ungewöhnlich sind. Sie können mehr darüber lesen Hier, Hier Und Hier mit Abhilfemaßnahmen für Benutzer, die in diesen Artikeln enthalten sind.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25739950/247386_Elon_Musk_Open_AI_CVirginia.jpg?w=238&resize=238,178&ssl=1 "OpenAI hat gerade neue Quittungen von Elon Musk veröffentlicht: „Sie können sich nicht bis zur AGI durchklagen“")
