Investigadores pudieron descifrar el método de autenticación multifactor (MFA)
de Microsoft Azure en aproximadamente una hora, debido a una vulnerabilidad
crítica (ya solucionada) que les permitía el acceso no autorizado a la cuenta
de un usuario, incluidos los correos electrónicos de Outlook, los archivos de
OneDrive, los chats de Teams, Azure Cloud y más.
Los investigadores de Oasis Security descubrieron la falla, que estaba
presente debido a la falta de un límite de frecuencia para la cantidad de
veces que alguien podía intentar iniciar sesión con MFA y fallar al intentar
acceder a una cuenta, según
revelaron en una publicación de blog. La falla (ya solucionada) expuso los más de 400 millones de puestos pagos
de Microsoft 365 a una posible apropiación de cuentas, dijeron.
Los investigadores lograron el saltear, al que llamaron AuthQuake, «creando rápidamente nuevas sesiones y enumerando códigos», escribió Tal Hason, un ingeniero de investigación de Oasis, en la publicación. Esto les permitió demostrar «una tasa muy alta de intentos que agotaría rápidamente el número total de opciones para un código de 6 dígitos», que es de 1 millón, explicó.
electrónico y contraseña y luego selecciona un método MFA preconfigurado. En
el caso utilizado por los investigadores, Microsoft les proporciona un código
a través de otra forma de comunicación para facilitar el inicio de sesión.
«En pocas palabras, uno podría ejecutar muchos intentos simultáneamente», escribió Hason. Además, durante los múltiples intentos fallidos de iniciar
sesión, los propietarios de las cuentas no recibieron ninguna alerta sobre la
actividad,
«lo que hace que esta vulnerabilidad y técnica de ataque sean
peligrosamente de bajo perfil», escribió Hason.
Oasis informó a Microsoft del problema, que reconoció su existencia en
junio y lo solucionó de forma permanente el 9 de octubre, dijeron los
investigadores.
«Si bien los detalles específicos de los cambios son confidenciales,
podemos confirmar que Microsoft introdujo un límite de velocidad mucho más
estricto que entra en vigencia después de una serie de intentos fallidos; el
límite estricto dura alrededor de medio día», escribió Hason.
Otro problema que permitió eludir la MFA fue que el tiempo disponible que
tenía un atacante para adivinar un código único era 2,5 minutos más largo que
el tiempo recomendado para una contraseña de un solo uso basada en tiempo
(TOTP) según
RFC-6238, la recomendación IETF para implementar la autenticación MFA.
RFC-6238 recomienda que un código caduque después de 30 segundos; sin
embargo, la mayoría de las aplicaciones MFA brindan un período de gracia corto
y permiten que estos códigos sean válidos por más tiempo.
«Esto significa que un solo código TOTP puede ser válido durante más de 30
segundos», explicó Hason.
«Las pruebas del equipo de investigación de seguridad de Oasis con el
inicio de sesión de Microsoft mostraron una tolerancia de alrededor de tres
minutos para un solo código, que se extiende 2,5 minutos más allá de su
vencimiento, lo que permite que se envíen 6 veces más intentos».
Este tiempo adicional significaba que los investigadores tenían un 3% de
posibilidades de adivinar correctamente el código dentro del período de tiempo
extendido, explicó Hason. Un actor malicioso que intentara descifrar el código
probablemente habría procedido y realizado más sesiones hasta que encontrara
una suposición válida, lo que los investigadores procedieron a hacer sin
encontrar ninguna limitación, dijo.
Mejores prácticas para una MFA segura
Si bien la MFA todavía se considera una de las formas más seguras de
proteger las contraseñas de las cuentas en línea, la investigación demuestra
que
ningún sistema es completamente a prueba de atacantes.
Oasis recomendó que las organizaciones sigan utilizando aplicaciones de
autenticación o métodos fuertes sin contraseñas para proteger las cuentas de
los usuarios de ataques maliciosos.
Otras mejores prácticas incluyen una que se ha recomendado durante años como
parte de la
higiene básica de las contraseñas. Además,
cualquier organización que utilice MFA para proteger las cuentas debe
agregar una alerta de correo para notificar a los usuarios sobre los
intentos fallidos de MFA, incluso si no les notifican cada intento fallido de inicio de sesión con
contraseña, señaló Hason.
Este último consejo también debe aplicarse a cualquier organización que
incorpore MFA en un sistema o aplicación, según Oasis. Los diseñadores de
aplicaciones MFA también deben asegurarse de incluir
límites de velocidad que no permitan intentos indefinidos de inicio de
sesión y bloquear una cuenta después de un cierto tiempo para limitar los
ataques o evasiones exitosos de MFA.
Fuente:
DarkReading