Los investigadores identificaron una vulnerabilidad crítica en el sistema de autenticación multifactor (MFA) de Microsoft Azure, que permite el acceso no autorizado a cuentas de usuarios en menos de una hora. Esta falla, descubierta por Oasis Security, expuso más de 400 millones de cuentas de Microsoft 365 a posibles apropiaciones de cuentas, con riesgos que se extienden a Outlook, OneDrive, Teams y los servicios de nube de Azure. La vulnerabilidad surgió de la falta de limitación de la velocidad para los intentos fallidos de MFA, lo que permitía a los atacantes explotar el sistema sin alertar a los usuarios.
Vulnerabilidad crítica en MFA de Microsoft Azure expone 400 millones de cuentas
El método de derivación identificado, denominado “AuthQuake”, permitió a los investigadores crear rápidamente nuevas sesiones mientras enumeraban códigos. Tal Hason, ingeniero de investigación de Oasis, explicó que la técnica implicaba ejecutar numerosos intentos de inicio de sesión simultáneamente, agotando rápidamente las opciones para un código de 6 dígitos. El ataque fue discreto, ya que los propietarios de las cuentas no recibieron notificaciones sobre actividades sospechosas.
La falla permitió a los piratas informáticos adivinar códigos durante mucho más tiempo que el período de caducidad estándar recomendado por el RFC-6238 del Internet Engineering Task Force. Normalmente, las contraseñas de un solo uso basadas en el tiempo (TOTP) deberían caducar después de 30 segundos, pero el análisis de Oasis indicó que los códigos de Microsoft seguían siendo válidos durante aproximadamente tres minutos. Esto aumentó significativamente la probabilidad de acertar, permitiendo a los atacantes un 3% de posibilidades de descifrar el código en un período de tiempo prolongado.
El 4 de julio de 2024, Oasis informó a Microsoft sobre la vulnerabilidad y, aunque la compañía lo reconoció en junio, no se implementó una solución permanente hasta el 9 de octubre de 2024. La resolución incluía límites de velocidad más estrictos que se activarían después de un número específico de intentos fallidos. . Se alienta a las organizaciones a mejorar la seguridad mediante el uso de aplicaciones de autenticación o métodos sin contraseña, que brindan una mayor protección contra posibles ataques.
El incidente subraya la necesidad de que las organizaciones que utilizan MFA adopten las mejores prácticas. Los expertos recomiendan implementar alertas para intentos fallidos de autenticación, lo que permitirá a las organizaciones detectar actividades maliciosas de manera temprana. Las revisiones periódicas de la configuración de seguridad son vitales para identificar las vulnerabilidades existentes.
Además, los especialistas en seguridad enfatizan la importancia de cambios consistentes en las contraseñas como parte de una sólida higiene de la cuenta. El sigilo del ataque ilustra cómo MFA, cuando se ve comprometida, puede pasar de ser una medida de seguridad importante a un vector de ataque. En consecuencia, los expertos abogan por un cambio hacia soluciones de autenticación sin contraseña, particularmente para nuevas implementaciones.
Varias organizaciones involucradas en la ciberseguridad continúan aprendiendo de este incidente y señalan que incluso las prácticas de seguridad ampliamente aceptadas son vulnerables en determinadas circunstancias. A medida que avanzan las investigaciones sobre el incidente, queda clara la importancia de una vigilancia continua en la implementación del AMF.
Crédito de la imagen destacada: Ed Hardie/Unsplash
La publicación Esta falla de MFA dejó a los usuarios de Office 365 expuestos a ataques cibernéticos durante meses apareció por primera vez en TechBriefly.
Source: Esta falla de MFA dejó a los usuarios de Office 365 expuestos a ciberataques durante meses
