Onderzoekers konden Microsoft MFA door beperkte rate limiting omzeilen

[Captain Kirk]

De multifactorauthenticatie (MFA) van Microsoft Azure was vanwege een beperkte rate limiting te omzeilen, zo ontdekten onderzoekers van securitybedrijf Oasis. Wanneer gebruikers bij Microsoft inloggen kent de inlogpagina hen een session identifier toe. Na het invoeren van een geldig wachtwoord en gebruikersnaam vraagt de pagina om een tweede factor. Microsoft ondersteunt verschillende MFA-methodes, waaronder het gebruik van een zescijferige code afkomstig van een MFA-app.

Gebruikers voeren vervolgens de gegenereerde code in om in te loggen. Per sessie kan er maximaal tien keer een verkeerde code worden ingevoerd. De codes die MFA-apps genereren zijn slechts beperkt geldig, waarbij richtlijn RFC-6238 een tijdsvenster van maximaal dertig seconden adviseert. De meeste apps en validators volgen dit advies, aldus de onderzoekers. Vanwege mogelijke tijdsverschillen en vertragingen tussen gebruikers en validator, wordt de validator aangeraden een langer tijdsvenster voor de MFA-code te hanteren.

Dit houdt in dat een MFA-code langer dan dertig seconden geldig kan zijn. In het geval van Microsoft bleken codes elk zo'n drie minuten te kunnen worden gebruikt. De 'rate limit' die Microsoft hanteerde werd alleen toegepast voor het tijdelijke session object. De onderzoekers ontdekten dat ze heel snel nieuwe sessies konden maken en vervolgens alle mogelijk zescijferige codes konden enumereren.

In totaal was het mogelijk om een volledige 'MFA bypass' in een uur uit te voeren, zonder dat dit interactie van het doelwit vereiste. Ook genereerde de aanval geen meldingen voor de accounteigenaar. Het securitybedrijf waarschuwde Microsoft op 24 juni. Op 4 juli kwam Microsoft met een tijdelijke fix, gevolgd door een permanente fix op 9 oktober. Microsoft hanteert nu een veel strengere rate limit die na een aantal mislukte pogingen van kracht wordt.

 

bron: https://www.security.nl