微软多因素认证漏洞分析

关键要点

• 微软的多因素认证（MFA）漏洞“AuthQuake”允许攻击者绕过认证，非法访问用户账号。
• 该漏洞由Oasis Security发现，影响包括Outlook、OneDrive、Teams和Azure Cloud等服务。
• 漏洞影响广泛，涉及超过4亿付费Office 365用户。
• 无法限制尝试频率和时间窗过长是漏洞的主要原因。
• 行业专家建议立即审查安全措施，并推动采用更安全的身份验证方法。

在12月11日的一篇博客中，OasisSecurity的研究者们报告称，名为“AuthQuake”的漏洞可能让攻击者绕过微软的多因素认证（MFA），从而非法进入用户的账户。攻击者能利用这一漏洞获取Outlook邮件、OneDrive文件、Teams聊天记录和AzureCloud上的数据。随着微软拥有超过4亿付费Office365用户，这一漏洞的潜在影响覆盖多个行业，尤其令人担忧的是，该漏洞在被报告和修复之间有长达四个月的时间差。

Oasis Security的安全研究员TalHason表示，尽管团队不清楚AuthQuake何时产生，但他们知道在发现之前，其漏洞至少已存在了几个月。Hason透露，他们在6月将这一问题报告给了微软。

“补丁已经应用到他们的后端系统，因此并没有对用户界面进行更新，”Hason表示。“微软在10月修复了这一缺陷。”

微软发表声明表示：“我们感谢OasisSecurity负责任地披露这一问题。我们已经发布更新，客户无需采取任何行动。”与此同时，微软发言人补充说，公司现已建立监控机制以检测此类滥用行为，并未发现这一技术被用于对微软客户的攻击。

根据Oasis研究者的说法，漏洞的核心问题在于缺乏速率限制及验证时间窗过长，导致时间敏感的一次性密码（TOTP）代码可以被快速尝试。通过快速创建新会话并列举可能的代码，Oasis团队展示了一个非常高的尝试频率，这足以让一个6位数的代码的可能性迅速耗尽。这使得用户能够同时发起多次尝试。

单个TOTP代码的有效期可能超过30秒。在OasisSecurity团队进行的微软登录测试中，该代码的容忍时间约为3分钟，超出了2.5分钟的过期时间，允许发送六倍的登录尝试。

根据允许的尝试速率，Oasis研究者显示在延长时间窗内，有3%的机会猜中正确的代码。在24个会话（大约70分钟）后，研究人员称恶意攻击者已经超过了50%猜中有效代码的机会，对黑客来说，这是非常有利的概率。

Sectigo的高级研究员JasonSoroko指出，AuthQuake暴露了微软MFA实施中的重大缺陷，说明基于共享秘密的身份验证系统本质上是脆弱的。他补充说，这基本上是一个配置错误，大家现在应该进行检查。他强调，所有MFA都应该设置合理的速率限制。

“如果你不能回答你是否有适当速率限制来缓解这一漏洞，那就停下手头的工作并进行检查。”Soroko说道。“组织必须采取措施，应用补丁，并重新考虑对过时MFA解决方案的依赖。我们必须朝无密码身份验证的解决方案努力，尤其是在新的实施中。”

Mimoto的联合创始人兼CEO Kris Bondi表示，OasisSecurity关于AuthQuake的最新报告突显了MFA整体的重大问题。Bondi指出，当MFA被攻破时，安全工具很快就会转变为重要攻击矢量。

同时，他警告称，攻击者可以通过获取4亿付费Office365用户的账户，悄然进行侦查，从而找到最有价值的系统和数据。恶意攻击者还可能添加额外的隐藏访问方式，例如反向Shell，以绕过未来的身份验证。

“虽然MFA比单纯使用凭证要好，但应该被视为组织的最低可接受做法，而不是最高级的安全措施，”Bondi说。“即使在MFA按预期运行时，它验证的只是某个时间点上的终端，而并不能确认那是真正的用户。考虑到绕过MFA的便利性及其实用的广泛性，不应低估这一漏洞的严重