Microsoft'un Azure bulutu, çok faktörlü kimlik doğrulamayı (MFA) kullanarak erişim koruması sunar. Ancak yakın zamana kadar Microsoft bunu uygulamada bir hata yapmıştı: Saldırganlar MFA doğrulama kodlarını tahmin edebilirdi. Microsoft artık sorunu çözmüş durumda.
Reklamcılık
Oasis'in BT araştırmacıları bir blog yazısında geçici çözümün yaklaşık bir saat sürdüğünü, kullanıcı etkileşimi gerektirmediğini ve hesap sahipleri için herhangi bir bildirim veya uyarı oluşturmadığını söyledi. Saldırganlar daha sonra Outlook e-postalarına, Onedrive dosyalarına, Teams sohbetlerine, Azure Cloud'a ve daha fazlasına yetkisiz erişim elde etmiş olabilir.
Zayıf nokta: eksik oran sınırı
Geçerli bir kullanıcı adı ve şifre girdikten sonra kullanıcılardan kimliklerini onaylamaları istenecektir. Microsoft bunun için kimlik doğrulayıcı doğrulama kodu da dahil olmak üzere çeşitli MFA yöntemlerini destekler. Microsoft bir oturumda en fazla on başarısız denemeye izin verdi. Yeni oturumlar oluşturarak ve doğrulama kodlarını hızlı bir şekilde arka arkaya deneyerek, BT araştırmacıları altı basamaklı kodun bir milyon olasılığını hızlı bir şekilde deneyebildiler. Aynı anda birçok deney başlatılabilir.
Bu deneysel dönem boyunca, hesap sahipleri çok sayıda başarısız denemeye ilişkin hiçbir uyarı almadı, bu da bu saldırının gerçekleştirilmesini oldukça kolaylaştırdı. Ancak başka bir sınırlayıcı faktör daha var.
BT araştırmacıları, doğrulama kodunu tahmin etmek için gereken zaman çerçevesinin sınırlı olduğunu açıklıyor. Bu genellikle her 30 saniyede bir değişir; Oasis, çoğu uygulamanın ve doğrulayıcının bu ayarı kullandığını açıklıyor. Ancak standarda uygun olarak doğrulayıcılar, kullanıcılar ile doğrulayıcı arasındaki olası zaman farklarını ve gecikmeleri telafi etmek için daha uzun bir süreye izin verir. Microsoft, doğrulama kodunun geçerli kalması için yaklaşık üç dakika süre tanıdı. Bu, doğrulama kodlarını test etmek için burada herhangi bir tolerans ayarlanmamışsa altı kat daha fazla denemenin başlatılabileceği anlamına geliyordu.
Oasis araştırmacıları, izin verilen deneme oranıyla, uzatılmış zaman aralığı içinde doğru kodu tahmin etme şanslarının yüzde üç olduğunu hesapladı. Kötü niyetli aktörler muhtemelen geçerli bir sonuç elde edene kadar devam edecek ve daha fazla seans başlatacaktır. BT güvenliği araştırmacıları bunu engelleyecek herhangi bir engel veya sınırlamayla karşılaşmadı. 70 dakikada tamamlanabilen bu tür 24 oturumdan sonra, saldırganlar zaten yüzde 50'den fazla geçerli bir kod yakalama olasılığına ulaştı; üstelik bu, daha fazla olası girişimin olduğu uzatılmış zaman aralığını hesaba katmıyor.
Oasis ekibi bu yöntemi birkaç kez başarıyla test etti. Microsoft, BT araştırmacılarından gelen bilgilere yanıt verdi ve Ekim ayında soruna yönelik son bir düzeltmeyi uyguladı. Ancak Microsoft çözümünün ayrıntıları gizlidir. Her durumda, çok daha sıkı bir oran sınırı getirildi.
(dmk)
Reklamcılık
Oasis'in BT araştırmacıları bir blog yazısında geçici çözümün yaklaşık bir saat sürdüğünü, kullanıcı etkileşimi gerektirmediğini ve hesap sahipleri için herhangi bir bildirim veya uyarı oluşturmadığını söyledi. Saldırganlar daha sonra Outlook e-postalarına, Onedrive dosyalarına, Teams sohbetlerine, Azure Cloud'a ve daha fazlasına yetkisiz erişim elde etmiş olabilir.
Zayıf nokta: eksik oran sınırı
Geçerli bir kullanıcı adı ve şifre girdikten sonra kullanıcılardan kimliklerini onaylamaları istenecektir. Microsoft bunun için kimlik doğrulayıcı doğrulama kodu da dahil olmak üzere çeşitli MFA yöntemlerini destekler. Microsoft bir oturumda en fazla on başarısız denemeye izin verdi. Yeni oturumlar oluşturarak ve doğrulama kodlarını hızlı bir şekilde arka arkaya deneyerek, BT araştırmacıları altı basamaklı kodun bir milyon olasılığını hızlı bir şekilde deneyebildiler. Aynı anda birçok deney başlatılabilir.
Bu deneysel dönem boyunca, hesap sahipleri çok sayıda başarısız denemeye ilişkin hiçbir uyarı almadı, bu da bu saldırının gerçekleştirilmesini oldukça kolaylaştırdı. Ancak başka bir sınırlayıcı faktör daha var.
BT araştırmacıları, doğrulama kodunu tahmin etmek için gereken zaman çerçevesinin sınırlı olduğunu açıklıyor. Bu genellikle her 30 saniyede bir değişir; Oasis, çoğu uygulamanın ve doğrulayıcının bu ayarı kullandığını açıklıyor. Ancak standarda uygun olarak doğrulayıcılar, kullanıcılar ile doğrulayıcı arasındaki olası zaman farklarını ve gecikmeleri telafi etmek için daha uzun bir süreye izin verir. Microsoft, doğrulama kodunun geçerli kalması için yaklaşık üç dakika süre tanıdı. Bu, doğrulama kodlarını test etmek için burada herhangi bir tolerans ayarlanmamışsa altı kat daha fazla denemenin başlatılabileceği anlamına geliyordu.
Oasis araştırmacıları, izin verilen deneme oranıyla, uzatılmış zaman aralığı içinde doğru kodu tahmin etme şanslarının yüzde üç olduğunu hesapladı. Kötü niyetli aktörler muhtemelen geçerli bir sonuç elde edene kadar devam edecek ve daha fazla seans başlatacaktır. BT güvenliği araştırmacıları bunu engelleyecek herhangi bir engel veya sınırlamayla karşılaşmadı. 70 dakikada tamamlanabilen bu tür 24 oturumdan sonra, saldırganlar zaten yüzde 50'den fazla geçerli bir kod yakalama olasılığına ulaştı; üstelik bu, daha fazla olası girişimin olduğu uzatılmış zaman aralığını hesaba katmıyor.
Oasis ekibi bu yöntemi birkaç kez başarıyla test etti. Microsoft, BT araştırmacılarından gelen bilgilere yanıt verdi ve Ekim ayında soruna yönelik son bir düzeltmeyi uyguladı. Ancak Microsoft çözümünün ayrıntıları gizlidir. Her durumda, çok daha sıkı bir oran sınırı getirildi.
(dmk)