Ein Team von Sicherheitsforschern deckte in der Multi-Faktor-Authentifizierung von Microsoft eine kritische Sicherheitslücke auf. In parallelen Sitzungen führten sie einen Brute-Force-Angriff aus.
Sicherheitsforscher von Oasis Security konnten teilweise in weniger als einer Stunde die Multi-Faktor-Authentifizierung (MFA) von Microsoft umgehen und auf Dienste wie OneDrive, Teams, Outlook oder Azure Cloud zugreifen. Ohne jegliche Nutzerinteraktionen konnten sie die MFA umgehen. Sie führten auf den bei der Anmeldung abgefragten sechsstelligen MFA-Code einen Brute-Force-Angriff aus und nahmen unbegrenzt Fehlereingaben vor. Microsoft hat inzwischen reagiert.
Wie die Forscher die MFA knackten
Nach der Eingabe einer gültigen E-Mail-Adresse und eines Nutzerpasswortes wird ein zusätzlicher Authentifizierungsfaktor, ein Time-based One-time Password (TOTP) angefordert. Dieser Code wird dem Nutzer über die Authentificator-App gesendet. Meistens ist diese App mit dem Anmeldedienst von Microsoft verknüpft. Diese Codes werden in der Regel alle 30 Sekunden neu generiert. Sie verlieren ihre Gültigkeit nicht unmittelbar nach dem Wechsel. Zumeist werden sie noch etwas länger akzeptiert. So können mögliche Zeitverschiebungen und Verzögerungen ausgeglichen werden. Die Forscher stellten fest, dass die einzelnen Codes bei Microsoft drei Minuten lang gültig waren.
Fehlereingaben über parallele Sitzungen
Das Forscherteam erklärt, dass pro Sitzung bis zu zehn Fehlereingaben zulässig sind. Die Forscher umgingen diese Begrenzung, indem sie mehrere parallele Sitzungen erstellten. So waren viele Eingabeversuche gleichzeitig möglich. Die Kontobesitzer erhielten während dieser Zeit keine Warnung, dass zahlreiche Versuche fehlgeschlagen waren. Damit war die Schwachstelle gefährlich unauffällig. Auch die Angriffstechnik fiel nicht auf.
Vielzahl von Kombinationsmöglichkeiten beim sechsstelligen Code
Es gibt bis zu einer Million Kombinationsmöglichkeiten für den sechsstelligen Code. Für ihre Methodik, den MFA-Code innerhalb seines Gültigkeitszeitraums zu knacken, ermittelten die Forscher eine Wahrscheinlichkeit von drei Prozent. Über 70 Minuten führten die Forscher 24 solcher Angriffe hintereinander aus. Die Wahrscheinlichkeit stieg bereits auf mehr als 50 Prozent.
Das Forscherteam führte den Angriff mehrmals erfolgreich durch. Der Zugriff gelang oft schon innerhalb einer Stunde. Die Forscher teilten ihre Beobachtungen an Microsoft mit. Bereits im Juli reagierte Microsoft mit einem temporären Fix darauf. Eine dauerhafte Lösung mit strengeren Ratenbegrenzungen entwickelte Microsoft im Oktober. Weitere Details nannten die Forscher von Oasis Security dazu nicht.
Quellen: Microsoft, Oasis Security, WinFuture, Golem
