1. 科技訊首頁
  2. 新聞

微軟MFA系統(tǒng)曝AuthQuake重大安全漏洞,涉及多重認(rèn)證的賬號驗證器動態(tài)碼系統(tǒng)

Microsoft ? ? 新聞
微軟MFA系統(tǒng)曝AuthQuake重大安全漏洞,涉及多重認(rèn)證的賬號驗證器動態(tài)碼系統(tǒng)

有消息稱,安全公司Oasis近日曝光了微軟MFA多重驗證系統(tǒng)中存在的一項名為AuthQuake的重大安全漏洞。據(jù)稱,該漏洞允許黑客通過窮舉暴力破解驗證碼的方式繞過驗證流程,進而訪問用戶賬戶。

據(jù)了解,該漏洞主要涉及微軟多重認(rèn)證的賬號驗證器動態(tài)碼系統(tǒng)。通常情況下,用戶在PC網(wǎng)頁端登錄微軟賬號時,需要通過綁定在手機上的微軟賬號驗證器App生成6位動態(tài)驗證碼(OTP),并在規(guī)定時間內(nèi)輸入以完成認(rèn)證。然而,研究人員發(fā)現(xiàn),該認(rèn)證機制實際上缺乏對驗證頻率的限制。黑客若使用大型計算機,在極短時間內(nèi)快速生成新會話,并嘗試所有可能的驗證碼排列組合,就有可能成功破解認(rèn)證機制,接管用戶賬號。

據(jù)Oasis公司透露,他們已利用該漏洞成功繞過MFA多重驗證流程,整個測試過程持續(xù)約一小時,且系統(tǒng)未向受害者發(fā)出任何警告。Oasis在今年6月下旬向微軟通報了這一問題,并在雙方的緊密合作下,微軟分別于7月和10月對該漏洞進行了修復(fù)和緩解。

原創(chuàng)文章,作者:Microsoft,如若轉(zhuǎn)載,請注明出處:http://2079x.cn/article/697795.html

Microsoft的頭像Microsoft認(rèn)證作者

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評論