3 min Security

Onderzoekers kraken Microsoft Azure MFA binnen een uur

Onderzoekers kraken Microsoft Azure MFA binnen een uur

Een kritieke fout in de snelheidslimiet voor mislukte MFA-aanmeldpogingen bij Microsoft maakte ongeautoriseerde toegang mogelijk tot een gebruikersaccount. Dit inclusief Outlook-e-mails.  

Onderzoekers van Oasis Security ontdekten een kwetsbaarheid in Microsoft Azure’s multifactor-authenticatie (MFA). Darkreading bericht hierover. De kwetsbaarheid stelde hen staat een gebruikersaccount in ongeveer een uur te kraken. Deze fout maakte het mogelijk om zonder autorisatie toegang te krijgen tot tal van gebruikersgegevens en -omgevingen. Denk daarbij aan Outlook-e-mails, OneDrive-bestanden, Teams-chats en Azure Cloud.  

Volgens een blogpost van Oasis Security op 11 december was het probleem te wijten aan het ontbreken van een snelheidslimiet voor het aantal mislukte MFA-inlogpogingen. Hierdoor werden meer dan 400 miljoen betaalde Microsoft 365-accounts blootgesteld aan mogelijk accountovername, aldus de onderzoekers.  

Snel nieuwe sessies aanmaken

Bij het inloggen op een Microsoft-account voert een gebruiker zijn e-mailadres en wachtwoord in, gevolgd door een vooraf ingestelde MFA-methode.

De onderzoekers slaagden erin de beveiliging te omzeilen door “snel nieuwe sessies te maken en codes te enumereren”, zoals beschreven door Tal Hason, een onderzoeksingenieur bij Oasis, in de blogpost. Dit stelde hen in staat om “een zeer hoog aantal pogingen te doen, waarmee ze snel alle mogelijke combinaties van een 6-cijferige code konden uitputten,” wat in totaal 1 miljoen mogelijkheden betekent.  

“Eenvoudig gezegd — iemand kon veel pogingen tegelijkertijd uitvoeren,” schreef Hason. Bovendien ontvingen accounteigenaren tijdens deze mislukte pogingen geen enkele melding van verdachte activiteiten, wat deze kwetsbaarheid moeilijk detecteerbaar maakte, voegde hij toe.  

Microsoft voert striktere snelheidslimiet in

Oasis informeerde Microsoft over het probleem. Die erkende de fout in juni en loste dit op 9 oktober op. Hoewel de exacte details vertrouwelijk blijven, bevestigde Hason dat Microsoft een veel striktere snelheidslimiet heeft ingevoerd, die na een bepaald aantal mislukte pogingen ongeveer een halve dag actief blijft.  

Uit een analyse blijkt dat een bijkomend probleem de tijdsperiode was waarin een aanvaller een enkele code kon raden. Die was 2,5 minuten langer dan de aanbevolen periode voor een tijdsgebonden eenmalig wachtwoord (TOTP) volgens RFC-6238, een standaard van de Internet Engineering Task Force (IETF).  

RFC-6238 beveelt aan dat een code na 30 seconden verloopt. Bij tests met Microsoft-aanmeldingen ontdekten de onderzoekers dat een enkele code ongeveer drie minuten geldig bleef, wat dus 2,5 minuten langer is dan aanbevolen. Dit gaf aanvallers zes keer meer tijd.  

Door deze extra tijd hadden aanvallers een kans van 3% om de code binnen de verlengde periode te raden. Bij 24 pogingen, wat ongeveer 70 minuten zou duren, zou de kans al boven de 50% liggen. In sommige gevallen lukte het de onderzoekers om de code in een veel kortere tijd te raden, wat aantoont hoe kwetsbaar MFA kan zijn.