Oasis Security的网络安全研究人员发现了微软多重身份验证(MFA)中的一个漏洞，即AuthQuake，它允许攻击者绕过安全措施并获得对用户帐户的未经授权的访问。

由于Office 365付费订阅数量超过4亿，该漏洞可能为网络犯罪分子提供一个极其有利可图的机会，窃取Outlook、OneDrive、Teams、Azure等Microsoft平台上的电子邮件、文件和通信等敏感信息。

该漏洞利用了MFA设置中的两个关键弱点：缺乏速率限制和TOTP代码的延长时间范围。当用户登录时，系统会为他们分配一个会话ID，并要求他们使用身份验证器应用程序中的基于时间的一次性密码(TOTP)来验证身份。问题是系统允许每个会话最多10次登录失败尝试，而不会通知用户或触发任何警报。

由于缺乏速率限制，攻击者可以快速创建新的登录会话并尝试多个TOTP代码(本质上是六位数字)。鉴于这些代码有百万种可能的组合，攻击者理论上可以在不遇到任何安全措施的情况下用尽所有选项。

另一方面，TOTP代码通常有效期仅为30秒，而Oasis进行的测试表明，该系统允许代码保持有效期长达3分钟。这一延长的时间范围大大增加了攻击者试图猜测正确代码的成功率。

根据Oasis Security在12月11日分享的博客文章，研究人员得出结论，攻击者可以在70分钟内以50%的成功率绕过MFA，而且无需任何用户交互或警报。以下是研究人员在自己测试漏洞时创建的演示：

Oasis Security向微软报告了此事件。这家科技巨头迅速做出反应，在2024年7月4日部署临时修复后，于2024年10月9日实施了永久修复。修复措施包括引入更严格的速率限制，在多次尝试失败后激活，持续约半天。

Sectigo高级研究员Jason Soroko强调了这一发现的广泛影响，他表示：“AuthQuake凸显了微软MFA实施中的重大缺陷。这给各组织敲响了警钟，提醒他们采用补丁并重新考虑对过时MFA解决方案的依赖。转向无密码身份验证不仅是一种趋势，而且是确保我们的安全措施面向未来的必要条件。 ”

虽然特定漏洞已得到修补，但组织应告知员工网络安全的重要性，并鼓励他们报告任何可疑的登录尝试。此外，尽管最近出现了问题，但MFA仍然是一项关键的安全措施，因此，请使用身份验证器应用程序或探索更强大的无密码方法来增加保护。