Forscher hebeln Microsofts Multifaktor-Authentifizierung aus
Sicherheitsforscher von Oasis Security haben Microsofts Multifaktor-Authentifizierung (MFA) geknackt. Dazu führten sie Brute-Force-Angriffe auf die sechsstelligen MFA-Codes aus.
Ein Forschungsteam von Oasis Security hat eine Möglichkeit gefunden, die Multifaktor-Authentifizierung (MFA) von Microsoft, die in Anwendungen wie Outlook, Onedrive, Teams oder Azure Cloud implementiert ist, zu umgehen. Die Brute-Force-Angriffe der Forscher waren bereits nach relativ geringem Zeitaufwand erfolgreich - betroffene Nutzerinnen und Nutzer erhielten dabei keine Warnung, wie es im Blogbeitrag heisst.
Microsofts MFA-Codes bestehen laut Oasis Security aus sechsstelligen numerischen TOTP-Codes (Time-based One-time Password), die nach erfolgreicher Eingabe einer gültigen E-Mail-Adresse mit zugehörigem Passwort angefordert werden. Über Authenticator-Apps, die mit Microsofts Anmeldedienst verknüpft sind, erhalten Nutzerinnen und Nutzer den Code als zusätzlichen Authentifizierungsfaktor.
Gemäss RFC-6238 sollten TOTP-Codes in Intervallen von 30 Sekunden regelmässig generiert werden. Dennoch bleiben diese in der Regel noch für kurze Zeit gültig, um potenzielle Verzögerungen auszugleichen. Den Oasis-Security-Sicherheitsforschern zufolge beträgt die Gültigkeitsdauer der einzelnen Codes bei Microsoft ungefähr drei Minuten. Diese Zeit können sich Angreifer zu Nutze machen.
Parallele Sitzungen legen Schwachstelle frei
Die Forschenden konnten laut Bericht die Begrenzung von zehn Fehleingaben pro Sitzung umgehen, indem sie mehrere Sitzungen parallel erstellten und so gleichzeitig mehrere Versuche durchführten. In der Methodik berechnete Oasis Security eine Wahrscheinlichkeit von 3 Prozent, einen sechsstelligen MFA-Code innerhalb seines Gültigkeitszeitraumes zu knacken. Da ein Code mit sechs Variablen eine begrenzte Zahl an Kombinationsmöglichkeiten (maximal eine Million) habe, steige die Wahrscheinlichkeit mit 24 Brute-Force-Angriffen hintereinander schon auf über 50 Prozent.
Die Angriffe von Oasis Security seien mehrmals erfolgreich durchgeführt worden, oft schon innerhalb einer Stunde. Während des Prozesses erhielten Kontoinhaber keinerlei Warnung über den Hackerangriff, wie die Forscher schreiben. Microsoft sei über die Beobachtungen informiert worden und habe die Probleme anschliessend behoben. Wie genau, ist laut Oasis Security vertraulich.
Wenn Betrüger MFA-Codes nicht knacken können, nutzen sie die Authetnifizierungsmethode oft auch für sich. Beispielsweise tarnen Phisher bösartige QR-Codes in Mitteilungen als Anfragen zur Multifaktor-Authentifizierung. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Stromengpässe beeinträchtigen KI-Rechenzentren
Neue ChatGPT-Funktion bringt Projektdaten unter einen Hut
Forscher hebeln Microsofts Multifaktor-Authentifizierung aus
ISE 2025: Revolutioniert Unified Communications mit bahnbrechenden Lösungen
Agentic AI – Chancen und Herausforderungen
Einladung zum Webinar: Passwortsicherheit und Active Directory – Best Practices für IT-Sicherheitsverantwortliche
Bundesrat legt Schwerpunkte der Strategie Digitale Schweiz 2025 fest
Softwareone verhandelt um Crayon
Wie man eine Dungeons&Dragons-Spielerin umwirbt
