Sicherheitsforscher von Oasis Security haben eine Schwachstelle in Microsofts Multi-Faktor-Authentifizierung (MFA) entdeckt, die den Zugang zu Diensten wie Outlook oder Azure ermöglicht. Durch einen Brute-Force-Angriff auf die sechsstelligen TOTP-Codes (Time-based One-time Password) war es möglich, den Sicherheitsmechanismus ohne Nutzerinteraktion zu umgehen. Die Gültigkeitsdauer der Codes beträgt drei Minuten, wobei je Sitzung bis zu zehn Fehleingaben zulässig waren.
Durch parallele Sitzungen konnte die Beschränkung umgangen werden, sodass sich zahlreiche Eingabeversuche gleichzeitig durchführen ließen. Eine Wahrscheinlichkeit von 50 % für einen erfolgreichen Zugriff war bereits nach 70 Minuten erreichbar. Microsoft hat auf die Meldung reagiert und seit Oktober ein strengeres Ratenlimit eingeführt, um solche Angriffe zu verhindern.
Originalartikel:
https://www.oasis.security/resources/blog/oasis-security-research-team-discovers-microsoft-azure-mfa-bypass
Wir sind Experten für Datenschutz und IT-Sicherheit
Profitieren Sie von unserer umfassenden Beratung zu den Themen Datenschutz und IT-Sicherheit. Unser erfahrenes Team unterstützt Sie dabei, Ihre Website und digitalen Dienste datenschutzkonform zu gestalten um die gesetzlichen Vorgaben zu erfüllen.
Kontaktieren Sie uns noch heute und sichern Sie sich praxisnahe Beratung zur Umsetzung der DSGVO und Normen wie ISO 27001, PCI-DSS oder TISAX.
Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com
Alle unsere NEWS -> http://news.tec4net.com