Eine kritische Schwachstelle im Multi-Faktor-Authentifizierungssystem (MFA) von Microsoft hat dazu geführt, dass Millionen von Konten unbefugtem Zugriff ausgesetzt sind. Die von Oasis Security entdeckte Schwachstelle ermöglicht es Angreifern, MFA zu umgehen, was sich auf über 400 Millionen zahlende Office 365-Benutzer auswirkt. Die Ausnutzung dieser Schwachstelle ermöglicht den Zugriff auf Dienste wie Outlook, OneDrive und Azure Cloud mit minimalem Aufwand. Microsoft hat das Problem bestätigt und Korrekturen implementiert.
Durch die MFA-Sicherheitslücke von Microsoft sind Millionen Menschen unbefugtem Zugriff ausgesetzt
Die Schwachstelle dreht sich um das zeitbasierte Einmalpasswortsystem (TOTP). Angreifer könnten unzureichende Mechanismen zur Ratenbegrenzung ausnutzen, die ihnen die Möglichkeit geben, wiederholt sechsstellige Codes zu erraten. Benutzer hatten bis zu drei Minuten Zeit – deutlich länger als das Standardintervall von 30 Sekunden –, in denen diese Codes gültig blieben. Dies erhöhte die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich: Angreifer konnten durch die Initiierung mehrerer Sitzungen innerhalb von etwa 70 Minuten eine Erfolgsquote von über 50 % erreichen.
Im Blogbeitrag Im Detail erläuterten die Forscher von Oasis ihre Ausbeutungsmethode, die sie „AuthQuake“ nannten. Sie testeten den Fehler, indem sie schnell neue Sitzungen erstellten und Codes aufzählten. Dabei zeigten sie eine hohe Rate gleichzeitiger Versuche, die die möglichen sechsstelligen Kombinationen schnell erschöpfen konnten. Diese Taktiken wurden ohne Eingreifen oder Warnungen des Benutzers ausgeführt, wodurch die Angriffsmethode diskret war.
Nachdem Microsoft über die Schwachstelle informiert wurde, veröffentlichte es am 4. Juli 2024 einen temporären Patch, gefolgt von einer dauerhaften Lösung am 9. Oktober 2024. Letztere integrierte strengere Ratenlimits, die die Anzahl der Versuche, die ein Angreifer in einem bestimmten Zeitraum unternehmen kann, reduzieren , wodurch die Sicherheitsmaßnahmen gegen solche Exploits verbessert werden.
Trotz der Behebung dieser spezifischen Schwachstelle betonen Sicherheitsexperten die dringende Notwendigkeit kontinuierlicher Wachsamkeit. Zu den Empfehlungen für Unternehmen, die MFA verwenden, gehören die Durchsetzung von Warnungen bei fehlgeschlagenen Authentifizierungsversuchen und die regelmäßige Überprüfung der Sicherheitskonfigurationen, um potenzielle Schwachstellen zu identifizieren. Kris Bondi, CEO von Mimoto, betonte, wie wichtig es sei, MFA als akzeptable Mindestpraxis und nicht als hochmoderne Sicherheitsmaßnahme zu behandeln. Er wies darauf hin, dass MFA, selbst wenn es ordnungsgemäß funktioniert, nur den Endpunkt zu einem bestimmten Zeitpunkt überprüft und nicht unbedingt die Identität des Benutzers bestätigt.
Microsoft Teams funktioniert nicht mehr auf älteren Versionen von Windows und macOS
Experten raten zudem davon ab, sich auf veraltete MFA-Lösungen zu verlassen. Jason Soroko, Senior Fellow bei Sectigo, schloss sich dieser Meinung an und betonte die Notwendigkeit für Unternehmen, aktualisierte Patches zu übernehmen und den Übergang zu passwortlosen Authentifizierungslösungen für neue Implementierungen in Betracht zu ziehen.
Zu den neuen Best Practices gehört die Integration von E-Mail-Benachrichtigungen, um Benutzer über erfolglose MFA-Versuche zu informieren und gleichzeitig sicherzustellen, dass MFA-Systeme Ratenbegrenzungen durchsetzen, die unbegrenzte Anmeldeversuche verhindern. Nach zahlreichen gescheiterten Versuchen, potenzielle Angreifer abzuwehren, werden Organisationen außerdem aufgefordert, Maßnahmen zu ergreifen, die Konten sperren.
Hervorgehobener Bildnachweis: Ed Hardie/Unsplash
