
有消息称,安全公司Oasis近日曝光了微软MFA多重验证系统中存在的一项名为AuthQuake的重大安全漏洞。据称,该漏洞允许黑客通过穷举暴力破解验证码的方式绕过验证流程,进而访问用户账户。
据了解,该漏洞主要涉及微软多重认证的账号验证器动态码系统。通常情况下,用户在PC网页端登录微软账号时,需要通过绑定在手机上的微软账号验证器App生成6位动态验证码(OTP),并在规定时间内输入以完成认证。然而,研究人员发现,该认证机制实际上缺乏对验证频率的限制。黑客若使用大型计算机,在极短时间内快速生成新会话,并尝试所有可能的验证码排列组合,就有可能成功破解认证机制,接管用户账号。
据Oasis公司透露,他们已利用该漏洞成功绕过MFA多重验证流程,整个测试过程持续约一小时,且系统未向受害者发出任何警告。Oasis在今年6月下旬向微软通报了这一问题,并在双方的紧密合作下,微软分别于7月和10月对该漏洞进行了修复和缓解。
原创文章,作者:Microsoft,如若转载,请注明出处:https://www.kejixun.com/article/697795.html