Aktuelles

Vortrag „Gutes Tun und gutes Lernen – Förderung von Campus Community Partnerships an der Universität Duisburg-Essen mit Einordnung in deutsche und internationale Kontexte“ in der hybriden Vortragsreihe „CampusTalk” von Dipl. Päd. Jörg Miller

Microsofts Multi-Faktor-Authentifizierung geknackt

Per Brute Force:

Forscher knacken Microsofts Multi-Faktor-Authentifizierung

Durch parallele Sitzungen konnte das Forscherteam unbegrenzt Fehleingaben tätigen. Oftmals gelang der Zugriff innerhalb von nur einer Stunde.

Sicherheitsforscher von Oasis Security haben einen Weg gefunden, die Multi-Faktor-Authentifizierung (MFA), die Microsoft für den Zugang zu Diensten wie Outlook, Onedrive, Teams oder die Azure Cloud implementiert hat, mit vergleichsweise geringem Zeitaufwand und ohne jegliche Nutzerinteraktion zu umgehen. Wie die Forscher in einem Blogbeitrag erklären, führten sie dafür einen Brute-Force-Angriff auf die 6-stelligen MFA-Codes aus, die bei der Anmeldung abgefragt werden.

Die besagten TOTP-Codes (Time-based One-time Password) werden jeweils nach der Eingabe einer gültigen E-Mail-Adresse und des zugehörigen Nutzerpasswortes als zusätzlicher Authentifizierungsfaktor angefordert. Anwender erhalten diese Codes aus den jeweiligen Authenticator-Apps, die sie mit dem Anmeldedienst von Microsoft verknüpft haben.

Die Codes werden regelmäßig neu generiert, gemäß RFC-6238 empfohlen sind Schritte von 30 Sekunden. In der Regel werden frühere TOTP-Codes aber nicht unmittelbar nach dem Wechsel ungültig, sondern noch etwas länger akzeptiert, um mögliche Zeitverschiebungen und Verzögerungen auszugleichen. Bei Microsoft lag die gesamte Gültigkeitsdauer der einzelnen Codes den Forschern zufolge bei drei Minuten.

Anfrageflut mit parallelen Sitzungen

Je Sitzung sind bis zu 10 Fehleingaben zulässig, erklärt das Forscherteam. Diese Begrenzung ließ sich jedoch durch die Erstellung mehrerer paralleler Sitzungen umgehen, so dass viele Eingabeversuche gleichzeitig durchführbar waren. "Während dieses Zeitraums erhielten die Kontobesitzer keine Warnung über die große Zahl der fehlgeschlagenen Versuche, was diese Schwachstelle und Angriffstechnik gefährlich unauffällig macht", heißt es im Bericht.

Bei den 6-stelligen numerischen Codes gibt es maximal eine Million Kombinationsmöglichkeiten. Die Forscher ermittelten für ihre Methodik eine Wahrscheinlichkeit von drei Prozent, einen MFA-Code innerhalb seines Gültigkeitszeitraumes zu erraten. Mit 24 solchen Angriffen hintereinander (Dauer: etwa 70 Minuten) steigt die Wahrscheinlichkeit den Angaben nach bereits auf über 50 Prozent.

Das Forscherteam gibt an, den Angriff mehrmals erfolgreich durchgeführt zu haben. Häufig soll der Zugriff innerhalb von nur einer Stunde gelungen sein. Ihre Beobachtungen meldeten die Forscher an Microsoft. Im Juli gab es dem Bericht zufolge zunächst einen temporären Fix, seit Oktober eine dauerhafte Lösung. Laut Oasis Security führte Microsoft ein "viel strengeres Ratenlimit" ein, weitere Details dazu werden allerdings nicht genannt. 

Gefunden auf www.golem.de/news/per-brute-force-forscher-knacken-microsofts-multi-faktor-authentifizierung-2412-191657.html