MFA-Schutz von Microsofts Azure war aushebelbar
Angreifer konnten die Multi-Faktor-Authentifizierung in Microsofts Azure umgehen und unberechtigten Zugriff erlangen.
(Bild: Tero Vesalainen/Shutterstock.com)
Microsofts Azure-Cloud bietet den Zugangsschutz mittels Mehr-Faktor-Authentifizierung (MFA) an. Bei der Umsetzung hat Microsoft bis vor kurzem jedoch einen Bock geschossen: Angreifer hätten Verfikationscodes für MFA erraten können. Inzwischen hat Microsoft das Problem gelöst.
Die IT-Forscher von Oasis führen in einem Blog-Beitrag aus, dass die Umgehung rund eine Stunde Zeit benötigte, keine Nutzerinteraktion erforderte und keine Benachrichtigung oder etwaige Hinweise für Kontoinhaber erzeugte. Die Angreifer hätten dann unbefugt Zugriff auf Outlook-E-Mails, Onedrive-Dateien, Teams-Chats, Azure Cloud und mehr erhalten können.
Schwachstelle: fehlendes Rate-Limit
Nach der Eingabe eines gültigen Nutzernamens und Passworts werden User darum gebeten, ihre Identität zu bestätigen. Microsoft unterstützt mehrere MFA-Methoden dafür, etwa auch einen Verifikationscode eines Authenticators. In einer Session erlaubte Microsoft bis zu zehn Fehlversuche. Indem die IT-Forscher nun in schneller Folge neue Sessions erstellten und Verifikationscodes durchprobierten, war es rasch möglich, die eine Million Möglichkeiten des sechsstelligen Codes durchzuprobieren. Es ließen sich viele Versuche gleichzeitig starten.
Während dieser Versuchsperiode haben Kontoinhaber keinerlei Warnung über eine massive Anzahl von fehlgeschlagenen Versuchen erhalten, wodurch dieser Angriff sehr einfach auszuführen ist. Allerdings gibt es noch einen weiteren begrenzenden Faktor.
Die IT-Forscher erklären, dass der Zeitrahmen zum Erraten eines Verifikationscodes begrenzt ist. Der ändert sich in der Regel alle 30 Sekunden, die meisten Apps und Validatoren nutzten diese Einstellung, führt Oasis aus. Dem Standard folgend erlauben Validatoren jedoch einen längeren Zeitraum, um mögliche Zeitunterschiede und Verzögerungen zwischen Nutzern und Validator zu kompensieren. Microsoft tolerierte um die drei Minuten, die ein Verifikationscode gültig blieb. Dadurch ließen sich sechsmal mehr Versuche zum Austesten von Verifikationscodes starten, als wenn hier keine Toleranz eingestellt wäre.
Die Oasis-Forscher rechnen vor, dass sie mit der erlaubten Rate an Versuchen eine dreiprozentige Chance hatten, den korrekten Code innerhalb des erweiterten Zeitfensters zu erraten. Bösartige Akteure würden vermutlich einfach weitermachen und weitere Sessions starten, bis sie einen gültigen Treffer landen. Die IT-Sicherheitsforscher seien auf keinerlei Hürden oder Grenzen gestoßen, die das verhindert hätten. Nach 24 solcher Sessions, die in 70 Minuten absolvierbar seien, hätten Angreifer bereits eine mehr als 50-prozentige Wahrscheinlichkeit erreicht, einen gültigen Code erwischt zu haben – und das schon ohne Berücksichtigung des erweiterten Zeitfensters mit mehr möglichen Versuchen.
Das Oasis-Team hat diese Methode mehrfach erfolgreich getestet. Microsoft hat nach Informationen durch die IT-Forscher reagiert und im Oktober einen finalen Fix für das Problem implementiert. Details der Microsoft-Lösung seien jedoch vertraulich. Es sei auf jeden Fall ein deutlich strengeres Rate-Limit eingeführt worden.
(dmk)