Microsofts MFA-System hackbar?
Forscher haben vor kurzem herausgefunden, dass die MFA von Microsoft durch einfach Ausprobieren umgangen werden kann, da es keine Limitierung gibt!
News
softmo Blog
Microsofts MFA-System hackbar?
IT-Support in Basel, Aargau, Zürich
Microsofts MFA-System hackbar?
Ein Forschungsteam von Oasis Security hat eine kritische Schwachstelle in der Multi-Faktor-Authentifizierung (MFA) von Microsoft aufgedeckt, die es Angreifern ermöglichte, diese Sicherheitsmassnahme zu umgehen und unbefugten Zugriff auf Benutzerkonten zu erlangen. Betroffen waren Dienste wie Outlook, OneDrive, Teams, Azure Cloud und weitere. Angesichts von mehr als 400 Millionen bezahlten Office 365-Nutzern sind die potenziellen Auswirkungen dieser Schwachstelle enorm.
Einfacher Umgehungsweg
Die Umgehung der Sicherheitsmassnahmen war überraschend einfach und erforderte keine Interaktion seitens der Nutzer. Die Angreifer konnten innerhalb von etwa einer Stunde und ohne jegliche Benachrichtigung auf das Konto Zugriff erhalten.
Nachdem Oasis die Sicherheitslücke entdeckte, arbeitete das Team eng mit Microsoft zusammen, um diese zu beheben.
Die Schwachstelle
Das Problem begann auf der Anmeldeseite, wo Benutzern zunächst eine Sitzungs-ID zugewiesen wurde. Nach Eingabe einer gültigen E-Mail-Adresse und eines Passworts wurden die Nutzer aufgefordert, ihre Identität mittels einer MFA-Methode weiter zu bestätigen, beispielsweise durch einen Code aus einer Authentifikator-App. Hierbei wurden bis zu zehn aufeinanderfolgende Fehlversuche pro Sitzung zugelassen – ein entscheidender Fehler, da keine Limitierung vorhanden war wie oft man neue Sitzungen starten kann.
Das Oasis-Forschungsteam nutzte diese Schwachstelle, indem es schnell neue Sitzungen erstellte und Codes durchprobierte. Aufgrund der hohen Versuchsrate konnten die Forscher die Optionen für einen 6-stelligen Code schnell ausschöpfen. Alarmierend war, dass während dieser Angriffe keine Benachrichtigungen über die zahlreichen Fehlversuche an die Kontobesitzer gesendet wurden.
Wie kann dieses Problem behoben werden?
Ohne auf spezifische Details einzugehen, bestätigte Microsoft die Einführung einer viel strengeren Limitierung nach einer Anzahl von Fehlversuchen. Diese strikte Limitierung bleibt etwa einen halben Tag bestehen.
Richtlinien für Organisationen, die MFA nutzen
Die hier diskutierte Schwachstelle gehört einer spezifischen Implementierung an, die vor Veröffentlichung dieses Textes behoben wurde. Dennoch bleibt die Aktivierung der MFA ein kritischer Bestandteil der Cybersicherheitspraktiken. Organisationen sollten nicht nur Authentifikator-Apps oder stärkere passwortlose Methoden verwenden, sondern auch proaktiv nach geleakten Zugangsdaten suchen und regelmässig Passwörter ändern. Ein weiterer wichtiger Schritt ist die Einrichtung von E-Mail-Benachrichtigungen bei fehlgeschlagenen MFA-Versuchen, um die Sicherheit weiter zu erhöhen.
Schwierigkeiten bei der Umsetzung?
IT-Support in der Region Aargau kann einfach per Kontaktformular,Telefon oder Ticketing System angefragt werden.
Entdecke mehr Artikel