Evitan el MFA de Microsoft simplemente adivinando posibles códigos de 6 dígitos

Iniciado por AXCESS, Diciembre 13, 2024, 12:09:04 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 13, 2024, 12:09:04 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft es uno de los defensores más firmes del uso de la autenticación multifactor (MFA), afirmando que las cuentas con MFA tienen más del 99% menos de probabilidades de ser secuestradas.

Sin embargo, los investigadores de Oasis afirman que su implementación tenía una falla crítica, dejando vulnerables millones de cuentas de Office 365. Este es un descuido importante.

Si los piratas informáticos tienen la contraseña de una cuenta, un desafío trivial ya que muchos registros de robo de información se venden en la dark web, podrían difundir códigos MFA indefinidamente.

"La omisión fue simple: tardó alrededor de una hora en ejecutarse, no requirió interacción del usuario y no generó ninguna notificación ni proporcionó al titular de la cuenta ninguna indicación de problemas", afirma el informe.

Microsoft admite una variedad de métodos de autenticación multifactor, uno de los cuales consiste en introducir un código de verificación desde una aplicación de autenticación.

Los investigadores descubrieron que, al iniciar sesión, a los usuarios se les asigna un identificador de sesión que les permite realizar hasta diez intentos fallidos sucesivos de introducir el código de seis dígitos. Sin embargo, no había límites en la cantidad de nuevas sesiones de inicio de sesión que se podían iniciar.

Una tasa muy alta de intentos simultáneos agotaría rápidamente el millón de opciones del código. Sin embargo, había un límite de tiempo, lo que dificultaba un poco el ataque potencial, pero aun así era relativamente fácil.

Las aplicaciones de autenticación suelen generar nuevos códigos cada 30 segundos. El validador suele aceptar el código durante un período de tiempo más largo. Los investigadores descubrieron que podían utilizar el código durante unos tres minutos antes de su caducidad e introducir seis veces más intentos de los que permitiría un período de 30 segundos.

"Dada la tasa permitida, teníamos un 3 % de posibilidades de adivinar correctamente el código dentro del período de tiempo extendido. Un actor malintencionado probablemente habría procedido y ejecutado más sesiones hasta que diera con una suposición válida", dijeron los investigadores.

Para tener un 50 % de posibilidades de obtener un código MFA válido, un atacante malintencionado tendría que completar 24 sesiones de este tipo, lo que llevaría alrededor de 70 minutos. El equipo de investigación de seguridad de Oasis afirmó que no encontraron ningún problema ni limitación al hacerlo y que intentaron el método con éxito varias veces.

"Durante este período, los propietarios de cuentas no recibieron ninguna alerta sobre la enorme cantidad de intentos fallidos consiguientes, lo que hace que esta vulnerabilidad y técnica de ataque pasen a un perfil peligrosamente bajo".

La empresa de seguridad reveló responsablemente la falla crítica a Microsoft el 24 de junio de 2024 y dijo que Microsoft implementó una solución temporal el 4 de julio. Desde el 9 de octubre, la falla ha sido corregida de forma permanente.

Oasis, que ejecuta la solución de gestión y seguridad para identidades no humanas, ahora evalúa que Microsoft introdujo un "límite de velocidad mucho más estricto" que entra en vigencia después de una serie de intentos fallidos, y el límite dura alrededor de medio día.

Habilitar MFA sigue siendo una práctica recomendada de ciberseguridad crítica y no se debe dudar del uso de aplicaciones de autenticación o métodos más seguros sin contraseña.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario