Pesquisadores bypassam MFA da Microsoft

Pesquisadores da empresa de segurança Oasis descobriram uma vulnerabilidade no sistema de autenticação multifator (MFA) do Microsoft Azure, permitindo que invasores contornassem a segurança devido a uma limitação no limite de taxa aplicado às sessões de login.

Leia também
Trojan brasileiro ataca usuários na Itália
IBM anuncia computador quântico 50X mais rápido

O problema envolvia a forma como os códigos de seis dígitos gerados por aplicativos MFA eram validados. Embora esses códigos geralmente tenham uma validade limitada recomendada de 30 segundos pela diretriz RFC-6238, diferenças de horário e atrasos levaram a Microsoft a estender essa janela para cerca de três minutos. Além disso, o limite de tentativas era aplicado apenas à sessão temporária de login. Isso permitia que os invasores criassem novas sessões rapidamente e testassem todas as combinações possíveis de códigos, culminando em um desvio completo da autenticação em aproximadamente uma hora, sem necessidade de interação do usuário alvo ou geração de notificações.

A Oasis notificou a Microsoft sobre a vulnerabilidade em 24 de junho. Uma correção temporária foi implementada em 4 de julho, e uma solução permanente foi aplicada em 9 de outubro. A correção incluiu a imposição de um limite de taxa mais rígido após múltiplas tentativas fracassadas, dificultando a exploração dessa vulnerabilidade.