Peneliti keamanan siber telah menandai kerentanan keamanan “kritis” dalam implementasi autentikasi multi-faktor (MFA) Microsoft yang memungkinkan penyerang mengabaikan perlindungan dan mendapatkan akses tidak sah ke akun korban.
“Cara pintasnya sederhana: memerlukan waktu sekitar satu jam untuk mengeksekusi, tidak memerlukan interaksi pengguna, dan tidak menghasilkan pemberitahuan apa pun atau memberikan indikasi masalah apa pun kepada pemegang akun,” kata peneliti Keamanan Oasis Elad Luz dan Tal Hason dalam laporan yang dibagikan kepada Berita Peretas.
Setelah pengungkapan yang bertanggung jawab, masalah tersebut – diberi nama kode AuthQuake – telah ditangani oleh Microsoft pada Oktober 2024.
Meskipun pembuat Windows mendukung berbagai cara untuk mengautentikasi pengguna melalui MFA, salah satu metodenya melibatkan memasukkan kode enam digit dari aplikasi autentikator setelah memberikan kredensial. Maksimal 10 percobaan gagal yang diakibatkan diperbolehkan untuk satu sesi.
Kerentanan yang diidentifikasi oleh Oasis, pada intinya, berkaitan dengan kurangnya batas kecepatan dan perpanjangan interval waktu saat menyediakan dan memvalidasi kode satu kali ini, sehingga memungkinkan aktor jahat dengan cepat membuat sesi baru dan menghitung semua kemungkinan permutasi kode ( yaitu satu juta) tanpa memberi tahu korban tentang upaya login yang gagal.
Perlu dicatat pada titik ini bahwa kode tersebut berbasis waktu, juga disebut sebagai kata sandi satu kali berbasis waktu (TOTPs) yang mana kode tersebut dibuat menggunakan waktu saat ini sebagai sumber keacakan. Terlebih lagi, kode-kode tersebut tetap aktif hanya untuk jangka waktu sekitar 30 detik, setelah itu dirotasi.
“Namun, karena potensi perbedaan waktu dan penundaan antara validator dan pengguna, validator disarankan untuk menerima rentang waktu yang lebih besar untuk kode tersebut,” jelas Oasis. “Singkatnya, ini berarti satu kode TOTP mungkin valid lebih dari 30 detik.”
Dalam kasus Microsoft, perusahaan yang berbasis di New York menemukan bahwa kode tersebut valid selama 3 menit, sehingga membuka pintu bagi skenario di mana penyerang dapat memanfaatkan jendela waktu yang diperpanjang untuk memulai lebih banyak upaya brute force. secara bersamaan untuk memecahkan kode enam digit.
“Memperkenalkan batasan tarif dan memastikan penerapannya dengan benar sangatlah penting,” kata para peneliti. “Selain itu, batas nilai mungkin tidak cukup – akibat dari upaya yang gagal akan memicu kunci akun.”
Microsoft sejak itu memberlakukan batas tarif yang lebih ketat yang dipicu setelah sejumlah upaya gagal. Oasis juga mengatakan batas baru ini berlaku sekitar setengah hari.
“Penemuan kerentanan AuthQuake baru-baru ini di Multi-Factor Authentication (MFA) Microsoft berfungsi sebagai pengingat bahwa keamanan bukan hanya tentang penerapan MFA – tetapi juga harus dikonfigurasi dengan benar,” James Scobey, kepala petugas keamanan informasi di Keeper Security, mengatakan dalam sebuah pernyataan.
“Meskipun MFA tidak diragukan lagi merupakan pertahanan yang kuat, efektivitasnya bergantung pada pengaturan utama, seperti pembatasan laju untuk menggagalkan upaya brute-force dan pemberitahuan pengguna jika upaya login gagal. Fitur-fitur ini bukan opsional; fitur-fitur ini sangat penting untuk meningkatkan visibilitas, memungkinkan pengguna untuk temukan aktivitas mencurigakan sejak dini dan tanggapi dengan cepat.”
