Investigadores pudieron descifrar el método de autenticación multifactor (MFA) de Microsoft Azure en aproximadamente una hora, debido a una vulnerabilidad crítica (ya solucionada) que les permitía el acceso no autorizado a la cuenta de un usuario, incluidos los correos electrónicos de Outlook, los archivos de OneDrive, los chats de Teams, Azure Cloud y más.
Los investigadores de Oasis Security descubrieron la falla, que estaba presente debido a la falta de un límite de frecuencia para la cantidad de veces que alguien podía intentar iniciar sesión con MFA y fallar al intentar acceder a una cuenta, según revelaron en una publicación de blog. La falla (ya solucionada) expuso los más de 400 millones de puestos pagos de Microsoft 365 a una posible apropiación de cuentas, dijeron.
Los investigadores lograron el saltear, al que llamaron AuthQuake, «creando rápidamente nuevas sesiones y enumerando códigos», escribió Tal Hason, un ingeniero de investigación de Oasis, en la publicación. Esto les permitió demostrar «una tasa muy alta de intentos que agotaría rápidamente el número total de opciones para un código de 6 dígitos», que es de 1 millón, explicó.
Al iniciar sesión en una cuenta de Microsoft, un usuario proporciona su correo electrónico y contraseña y luego selecciona un método MFA preconfigurado. En el caso utilizado por los investigadores, Microsoft les proporciona un código a través de otra forma de comunicación para facilitar el inicio de sesión.
«En pocas palabras, uno podría ejecutar muchos intentos simultáneamente», escribió Hason. Además, durante los múltiples intentos fallidos de iniciar sesión, los propietarios de las cuentas no recibieron ninguna alerta sobre la actividad, «lo que hace que esta vulnerabilidad y técnica de ataque sean peligrosamente de bajo perfil», escribió Hason.
Oasis informó a Microsoft del problema, que reconoció su existencia en junio y lo solucionó de forma permanente el 9 de octubre, dijeron los investigadores. «Si bien los detalles específicos de los cambios son confidenciales, podemos confirmar que Microsoft introdujo un límite de velocidad mucho más estricto que entra en vigencia después de una serie de intentos fallidos; el límite estricto dura alrededor de medio día», escribió Hason.
Otro problema que permitió eludir la MFA fue que el tiempo disponible que tenía un atacante para adivinar un código único era 2,5 minutos más largo que el tiempo recomendado para una contraseña de un solo uso basada en tiempo (TOTP) según RFC-6238, la recomendación IETF para implementar la autenticación MFA.
RFC-6238 recomienda que un código caduque después de 30 segundos; sin embargo, la mayoría de las aplicaciones MFA brindan un período de gracia corto y permiten que estos códigos sean válidos por más tiempo.
«Esto significa que un solo código TOTP puede ser válido durante más de 30 segundos», explicó Hason. «Las pruebas del equipo de investigación de seguridad de Oasis con el inicio de sesión de Microsoft mostraron una tolerancia de alrededor de tres minutos para un solo código, que se extiende 2,5 minutos más allá de su vencimiento, lo que permite que se envíen 6 veces más intentos».
Este tiempo adicional significaba que los investigadores tenían un 3% de posibilidades de adivinar correctamente el código dentro del período de tiempo extendido, explicó Hason. Un actor malicioso que intentara descifrar el código probablemente habría procedido y realizado más sesiones hasta que encontrara una suposición válida, lo que los investigadores procedieron a hacer sin encontrar ninguna limitación, dijo.
Mejores prácticas para una MFA segura
Si bien la MFA todavía se considera una de las formas más seguras de proteger las contraseñas de las cuentas en línea, la investigación demuestra que ningún sistema es completamente a prueba de atacantes. Oasis recomendó que las organizaciones sigan utilizando aplicaciones de autenticación o métodos fuertes sin contraseñas para proteger las cuentas de los usuarios de ataques maliciosos.
Otras mejores prácticas incluyen una que se ha recomendado durante años como parte de la higiene básica de las contraseñas. Además, cualquier organización que utilice MFA para proteger las cuentas debe agregar una alerta de correo para notificar a los usuarios sobre los intentos fallidos de MFA, incluso si no les notifican cada intento fallido de inicio de sesión con contraseña, señaló Hason.
Este último consejo también debe aplicarse a cualquier organización que incorpore MFA en un sistema o aplicación, según Oasis. Los diseñadores de aplicaciones MFA también deben asegurarse de incluir límites de velocidad que no permitan intentos indefinidos de inicio de sesión y bloquear una cuenta después de un cierto tiempo para limitar los ataques o evasiones exitosos de MFA.
Fuente y redacción: segu-info.com.ar
