Jak można było obejść uwierzytelnianie MFA Microsoftu

Wieloskładnikowe uwierzytelnianie (MFA) wzmacnia znacząco bezpieczeństwo logowania w sieci. Atakujący może przecież odgadnąć, podsłuchać, ukraść czy nawet znaleźć hasło konkretnego użytkownika. Jeśli jednak, będzie musiał udowodnić swoją tożsamość w inny sposób, nie tylko przy pomocy tego, co użytkownik “wie” (jak hasło czy pin), to prawdopodobieństwo logowania zakończonego sukcesem jest niewielkie. Wśród MFA (najczęściej mowa o tzw. 2FA czyli uwierzytelnianiu dwuskładnikowym, ponieważ dwa niezależne czynniki są rozsądnym kompromisem pomiędzy użytecznością a bezpieczeństwem) wyróżnić można np. fizyczne tokeny (np. zgodne z FIDO2), kartę kodów jednorazowych (niezalecane), kod wysyłany SMS (niezalecane) czy też jednorazowe kody ważne przez krótki czas (tzw. OTP).

TLDR:

• Microsoft “trochę” zoptymalizował sposób weryfikacji kodów jednorazowych, powiązując próby logowania do tymczasowego “obiektu” sesji.
• Atakujący może sobie takich obiektów wygenerować… całkiem sporo, wielokrotnie podając poświadczenia (login, hasło).
• Każda tymczasowa sesja pozwala na przeprowadzenie do dziesięciu prób ataku.
• Ponadto ważność kodu TOTP została lekko wydłużona, aby uniknąć problemów z synchronizacją w sieci i opóźnień w transmisji.
• Badacze z Oasis wskazali, że wyżej wymienione czynniki pozwalają na efektywne przeprowadzenie ataku brute-force i odgadnięcie kodu.

Kody jednorazowe mogą być realizowane na wiele różnych sposobów. Popularnym rozwiązaniem jest implementacja TOTP (time-based one-time-password) zgodnego z RFC 6238 (używane między innymi przez aplikację Google Authenticator) i składającego się z 6 cyfr 0-9. Standard sugeruje między innymi jak długo ważny powinien być kod jednorazowy (zalecana wartość to 30 s). Aby znaleźć rozsądny kompromis, zaproponowano aby jeden kod (ostatni, oprócz aktywnego) był również uznawany przez aplikację we właściwej jednostce czasu. 

Jednak w celu zwiększenia używalności aplikacji, Microsoft przedłużył trochę czas ważności kodu. Badacze powołują się na informacje pracownika, który sugeruje, że kod może być ważny nawet 5 minut. Jest to już całkiem pokaźne okno czasowe. Ale to nie największa bolączka implementacji 2FA przez Microsoft.

Okazuje się, że liczba dozwolonych błędów przy przepisywaniu OTP dla jednej próby zalogowania jest ograniczona do dziesięciu prób. Wtedy system może np. powiadomić użytkownika, że miała miejsce nieautoryzowana próba dostępu. Jednak te dziesięć prób jest przypisane do jednej tymczasowej sesji utworzonej w wyniku przejścia pod odpowiedni adres oraz podania poprawnych poświadczeń. Jak słusznie zauważyli badacze z Oasis – nie został wprowadzony żaden mechanizm limitowania liczby zapytań lub ograniczenia ich częstości. To powoduje, że próby odgadnięcia poprawnego kodu mogą być wykonywane równolegle, bez ryzyka zablokowania konta czy wygenerowania alertu. 

Po lekko ponad godzinie, atakujący przekracza 50% prawdopodobieństwo odgadnięcia kodu 2FA. Atak został zaprezentowany przez demo:

Microsoft otrzymał zgłoszenie w czerwcu tego roku i wprowadził stosowne poprawki. Jak podkreślają autorzy znaleziska – konkretne kroki naprawcze nie zostały ujawnione, ale przeprowadzone retesty wskazują na wystąpienie limitów dla zapytań (tzw. rate-limiting) odgadujących kod. Niech to będzie lekcja, pokazująca jak ważne są wszystkie elementy systemu 2FA i z pozoru niewielkie rozluźnienia ograniczeń, mogą doprowadzić do powstania praktycznych ataków, które pozwolą na przełamanie drugiej warstwy zabezpieczeń. 

Nam pozostaje przypomnieć, abyście włączyli uwierzytelnianie wieloskładnikowe gdzie tylko się da. Korzystajcie z 2FA na bazie standardu FIDO2 (o ile to możliwe). A może niedługo zapomnimy o hasłach i będziemy używać passkeyów*?

*tutaj jest jeszcze kwestia zaufania do enklaw, w których te passkeye są przechowywane. 

~fc