AuthQuake: Schwachstelle in Microsofts MFA : Microsoft MFA-Fehler ermöglichte Angreifern vollen Kontozugriff
„AuthQuake“ – eine schwerwiegende Sicherheitslücke in Microsofts Multi-Faktor-Authentifizierungs- (MFA) System erlaubte es Angreifern, den Schutzmechanismus zu umgehen und unbefugten Kontenzugriff zu erlangen. Der Fehler erlaubte unbegrenzte Brute-Force-Angriffe, die ohne irgendeine Warnung oder ausgeführt werden konnten.
Die Sicherheitslücke ließ sich einfach ausnutzen: „Die Umgehung dauerte etwa eine Stunde, erforderte keine Interaktion des Nutzers und erzeugte weder Benachrichtigungen noch Hinweise auf ein Problem für den Kontoinhaber“, so die Sicherheitsexperten Elad Luz und Tal Hason von Oasis Security in einem Bericht. Nach der Entdeckung des Problems, das den Codenamen „AuthQuake“ erhielt, wurde die Schwachstelle von Microsoft im Oktober 2024 behoben.
Microsoft bietet verschiedene Möglichkeiten für die Multi-Faktor-Authentifizierung an. Eine davon ist die Eingabe eines sechsstelligen Codes aus einer Authentifizierungs-App, nachdem die Anmeldedaten eingegeben wurden. Für eine einzelne Sitzung sind dabei bis zu zehn aufeinanderfolgende Fehlversuche erlaubt.
Die von Oasis identifizierte Schwachstelle bestand darin, dass es keine Begrenzung für die Anzahl der Anfragen gab und das Zeitintervall für die Bereitstellung und Validierung der Einmalcodes verlängert war. Dies ermöglichte es einem Angreifer, schnell neue Sitzungen zu erstellen und alle möglichen Kombinationen des sechsstelligen Codes – insgesamt eine Million – durchzuprobieren, ohne dass das Opfer von den fehlgeschlagenen Anmeldeversuchen benachrichtigt wurde.
Gefährliches Zeitfenster bei Einmalcodes
Es ist wichtig zu verstehen, dass solche Codes auf einer zeitgebundenen Basis generiert werden. Sie nutzen die aktuelle Uhrzeit als Grundlage und bleiben nur etwa 30 Sekunden gültig, bevor sie durch neue Codes ersetzt werden. „Da es zu Zeitunterschieden oder Verzögerungen zwischen dem Nutzer und dem System kommen kann, das den Code überprüft, wurde das System so entwickelt, dass es ein größeres Zeitfenster für die Gültigkeit des Codes akzeptiert“, erklärten die Forscher von Oasis. „Das bedeutet, dass ein zeitbasierter Einmalpasswort-Code manchmal länger als die normalerweise vorgesehenen 30 Sekunden gültig bleibt.“
Im Fall von Microsoft stellte Oasis fest, dass die Codes bis zu drei Minuten lang gültig waren. Dieses erweiterte Zeitfenster ermöglichte es Angreifern, mehrere Brute-Force-Versuche gleichzeitig durchzuführen, um den sechsstelligen Code zu erraten. „Es ist wichtig, die Anzahl der Fehlversuche zu begrenzen und diese Regel konsequent anzuwenden“, erklärten die Forscher. „Doch das allein genügt nicht. Bei wiederholten Fehlversuchen sollte das Konto zusätzlich gesperrt werden.“
Microsoft hat inzwischen strengere Vorgaben für Fehlversuche eingeführt. Nach einer festgelegten Anzahl von Falscheingaben wird ein Sicherheitsmechanismus ausgelöst, der die Nutzung für einen Zeitraum von etwa einem halben Tag blockiert, wie Oasis erklärte.
„Die Entdeckung der AuthQuake-Schwachstelle zeigt, dass es bei der Sicherheit nicht ausreicht, Multi-Faktor-Authentifizierung zu nutzen – sie muss auch richtig eingerichtet sein“, erklärte James Scobey, Sicherheitschef bei Keeper Security.
„MFA bietet einen starken Schutz, aber es kommt auf die richtigen Einstellungen an. Dazu gehören Begrenzungen bei Fehlversuchen, um Brute-Force-Angriffe zu verhindern, und Benachrichtigungen bei fehlgeschlagenen Anmeldeversuchen. Diese Funktionen sind wichtig, damit Nutzer verdächtige Aktivitäten frühzeitig bemerken und schnell reagieren können.“