1. 科技訊首頁
  2. 新聞

微軟MFA系統(tǒng)曝AuthQuake重大安全漏洞,涉及多重認(rèn)證的賬號(hào)驗(yàn)證器動(dòng)態(tài)碼系統(tǒng)

Microsoft ? ? 新聞
微軟MFA系統(tǒng)曝AuthQuake重大安全漏洞,涉及多重認(rèn)證的賬號(hào)驗(yàn)證器動(dòng)態(tài)碼系統(tǒng)

有消息稱,安全公司Oasis近日曝光了微軟MFA多重驗(yàn)證系統(tǒng)中存在的一項(xiàng)名為AuthQuake的重大安全漏洞。據(jù)稱,該漏洞允許黑客通過窮舉暴力破解驗(yàn)證碼的方式繞過驗(yàn)證流程,進(jìn)而訪問用戶賬戶。

據(jù)了解,該漏洞主要涉及微軟多重認(rèn)證的賬號(hào)驗(yàn)證器動(dòng)態(tài)碼系統(tǒng)。通常情況下,用戶在PC網(wǎng)頁端登錄微軟賬號(hào)時(shí),需要通過綁定在手機(jī)上的微軟賬號(hào)驗(yàn)證器App生成6位動(dòng)態(tài)驗(yàn)證碼(OTP),并在規(guī)定時(shí)間內(nèi)輸入以完成認(rèn)證。然而,研究人員發(fā)現(xiàn),該認(rèn)證機(jī)制實(shí)際上缺乏對(duì)驗(yàn)證頻率的限制。黑客若使用大型計(jì)算機(jī),在極短時(shí)間內(nèi)快速生成新會(huì)話,并嘗試所有可能的驗(yàn)證碼排列組合,就有可能成功破解認(rèn)證機(jī)制,接管用戶賬號(hào)。

據(jù)Oasis公司透露,他們已利用該漏洞成功繞過MFA多重驗(yàn)證流程,整個(gè)測試過程持續(xù)約一小時(shí),且系統(tǒng)未向受害者發(fā)出任何警告。Oasis在今年6月下旬向微軟通報(bào)了這一問題,并在雙方的緊密合作下,微軟分別于7月和10月對(duì)該漏洞進(jìn)行了修復(fù)和緩解。

原創(chuàng)文章,作者:Microsoft,如若轉(zhuǎn)載,請(qǐng)注明出處:http://rponds.cn/article/697795.html

Microsoft的頭像Microsoft認(rèn)證作者

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論