微软修复MFA实施中的安全漏洞 攻击者可绕过安全策略在短时间内发起100万次登录

注意：本文提到的漏洞可能与前段时间大家微软账号出现大量失败登录记录和微软身份验证器出现大量登录请求没有关系，看描述漏洞情况不一致。

网络安全公司 Oasis Security 研究人员日前披露微软在实施多因素身份验证 (MFA) 中存在的严重漏洞 AuthQuake，现在披露漏洞是因为在 6 月份研究人员已经将其通报给微软，微软当前也已经完成了漏洞修复。

攻击者借助该漏洞可以轻松绕过保护并获得对受害者的账户访问，绕过方法也非常简单，大约需要 1 个小时就能完成，不需要用户进行任何交互、不会生成任何通知、也不会向账户主人提供有诸如失败登录记录的提示。

微软在账户体系中实施的 MFA 验证包含 6 位数的 TOTP 验证码，TOTP 指的是基于时间的一次性验证，通常情况下验证码每 30 秒就会轮换，因此正常情况下超过 30 秒的验证码就是无效的。

但某些情况下平台可能会考虑到网络延迟和用户反应速度问题而延长验证码有效期，微软实施的验证码有效期就是 3 分钟而非 30 秒，这是第一个问题。

第二个问题是微软实施的安全策略是单个会话最多可以尝试 10 次连续登录，如果 10 次都失败则会话会被锁定，但微软的安全策略涉及到一次性验证码缺乏速率限制和延长的时间间隔问题。

经过研究，研究人员可以快速产生新会话并枚举大量密码进行暴力破解，可以枚举的密码数量最多可以达到 100 万个，使用 100 万个常用的密码去尝试爆破，用户不会收到任何失败登录提醒。

在将漏洞通报给微软后，微软与研究人员共同实施了修复方案并在 9 月份解决了问题，其中包括实施更严格的速率限制，该限制会在多次尝试登录失败后锁定半天阻止攻击者继续尝试。

目前研究人员尚未准备好披露完整的漏洞细节，但毕竟这个漏洞已经完成了修复，估计后续研究人员会逐步披露整个漏洞细节和利用过程供安全行业的研究人员们参考。