Onderzoekers van Oasis Security zijn erin geslaagd de MFA-beveiliging in Microsoft Azure te omzeilen. Miljoenen accounts waren zonder het te weten vatbaar voor inbraken.
MFA inschakelen wordt (terecht) gezien als een goede gewoonte in IT-beveiliging. Toch is MFA ook niet honderd procent waterdicht, zeker niet wanneer de softwareleverancier het niet volgends de regels aanbiedt. Tot die conclusie kwamen onderzoekers van Oasis Security toen ze de MFA-beveiliging van Microsoft Azure onder de loep namen.
De onderzoekers ontdekten een kritieke kwetsbaarheid ontdekt in de MFA-implementatie. Door deze kwetsbaarheid konden aanvallers in principe de MFA-beveiliging omzeilen en ongeautoriseerde toegang krijgen tot accounts, inclusief e-mails in Outlook, bestanden in OneDrive, gesprekken in Teams en Azure Cloud. Microsoft heeft inmiddels een permanente oplossing uitgerold. Sinds enkele maanden is MFA verplicht voor alle Azure-klanten.
lees ook
Onderzoekers hebben slechts een uur nodig om MFA-beveiliging van Microsoft Azure te kraken
Twee fouten
Volgens Oasis Security maakte Microsoft twee cruciale fouten. Ten eerste ontbrak er een limiet op het aantal foutieve pogingen per sessie. Bij een MFA-inlogproces moet een gebruiker na het invoeren van e-mail en wachtwoord een zescijferige verificatiecode invoeren. Onderzoekers ontdekten dat meerdere sessies snel achter elkaar konden worden aangemaakt, waardoor een groot aantal codes kon worden getest. Dit verhoogde de kans op succes zonder waarschuwingen aan de accounteigenaar.
Een bijkomend probleem was dat verificatiecodes, die normaal slechts 30 seconden geldig zijn, bij Microsoft tot drie minuten na genereren nog geaccepteerd werden. Dit gaf aanvallers extra tijd om de juiste code te raden. In minder dan 70 minuten was er een kans van meer dan 50 procent op een succesvolle aanval.
Oasis Security rapporteerde de kwetsbaarheid in juni 2024. Microsoft reageerde snel met een tijdelijke oplossing in juli en implementeerde in oktober een permanente fix. De update voegt een strikte limiet toe op het aantal toegestane pogingen, wat brute-force aanvallen voorkomt.
Het is niet de eerste keer dat Microsoft op de vingers wordt getikt wegens ontoereikende MFA-beveiliging. Twee jaar geleden legde Google-dochter Mandiant al een schadelijke kwetsbaarheid bloot. Microsoft grijpt blijkbaar enkel in wanneer het op een fout wordt gewezen.
Aanbevelingen
Hoewel het onderzoek een kwetsbaarheid in MFA vaststelt, adviseren de onderzoekers van Oasis Security nog steeds om het in te schakelen waar mogelijk. Met enkele bijkomende maatregelen maak je je accounts zo goed als waterdicht:
- Activeer MFA: Gebruik authenticatie-apps of sterkere methoden zoals wachtwoordloze verificatie.
- Monitor mislukte MFA-pogingen: Stel een melding in voor mislukte tweede-factor-pogingen om verdachte activiteiten snel op te sporen.
- Controleer op gelekte inloggegevens: Wijzig wachtwoorden regelmatig om de impact van gestolen inloggegevens te beperken.