Des 11, 2024Ravie LakshmananVulnerability / Uthibitishaji Watafiti wa Usalama wa Mtandao wameripoti uwezekano wa kuathiriwa “muhimu” wa usalama katika uthibitishaji wa vipengele vingi vya Microsoft (MFA) ambao unamruhusu mshambulizi kukwepa ulinzi kwa njia ndogo na kupata ufikiaji wa akaunti bila ruhusa kwa mwathiriwa. “Njia ya kupita ilikuwa rahisi: ilichukua karibu saa moja kutekeleza, haikuhitaji mwingiliano wa mtumiaji na haikutoa arifa yoyote au kumpa mmiliki wa akaunti dalili yoyote ya shida,” watafiti wa Usalama wa Oasis Elad Luz na Tal Hason walisema katika ripoti iliyoshirikiwa na. Habari za Wadukuzi. Kufuatia ufichuzi unaowajibika, suala hilo – lililopewa jina la AuthQuake – lilishughulikiwa na Microsoft mnamo Oktoba 2024. Ingawa mtengenezaji wa Windows anaunga mkono njia mbalimbali za kuthibitisha watumiaji kupitia MFA, njia moja inahusisha kuingiza msimbo wa tarakimu sita kutoka kwa programu ya uthibitishaji baada ya kutoa vitambulisho. Hadi majaribio 10 yasiyofaulu yanayofuata yanaruhusiwa kwa kipindi kimoja. Udhaifu unaotambuliwa na Oasis, kimsingi, unahusu ukosefu wa kikomo cha viwango na muda ulioongezwa wakati wa kutoa na kuthibitisha misimbo hii ya wakati mmoja, na hivyo kuruhusu muigizaji hasidi kuanzisha vikao vipya kwa haraka na kuhesabu vibali vyote vinavyowezekana vya kanuni ( yaani, milioni moja) bila hata kumtahadharisha mwathirika kuhusu majaribio yaliyofeli ya kuingia. Inafaa kuzingatia katika hatua hii kwamba misimbo kama hii inategemea wakati, pia inajulikana kama nywila za wakati mmoja (TOTPs) ambazo zinazalishwa kwa kutumia wakati wa sasa kama chanzo cha bahati nasibu. Zaidi ya hayo, misimbo hubaki hai kwa muda wa sekunde 30 tu, kisha huzungushwa. “Hata hivyo, kwa sababu ya tofauti za wakati na ucheleweshaji unaowezekana kati ya kithibitishaji na mtumiaji, kihalalishaji anahimizwa kukubali dirisha kubwa la muda la msimbo,” Oasis alisema. “Kwa kifupi, hii inamaanisha kuwa msimbo mmoja wa TOTP unaweza kuwa halali kwa zaidi ya sekunde 30.” Kwa upande wa Microsoft, kampuni yenye makao yake makuu mjini New York ilipata msimbo huo kuwa halali kwa muda wa dakika 3, na hivyo kufungua mlango kwa hali ambapo mshambuliaji anaweza kuchukua fursa ya muda ulioongezwa wa dirisha kuanzisha majaribio zaidi ya kikatili. wakati huo huo kuvunja msimbo wa tarakimu sita. “Kuanzisha viwango vya viwango na kuhakikisha kuwa vinatekelezwa ipasavyo ni muhimu,” watafiti walisema. “Vikomo vya viwango vinaweza kuwa visitoshe, kwa kuongeza – majaribio ambayo hayajafaulu yanapaswa kuanzisha kufunga akaunti.” Microsoft tangu wakati huo imetekeleza kikomo cha bei kali zaidi ambacho huanzishwa baada ya majaribio kadhaa kutofaulu. Oasis pia ilisema kikomo kipya hudumu karibu nusu siku. “Ugunduzi wa hivi majuzi wa uwezekano wa AuthQuake katika Uthibitishaji wa Multi-Factor (MFA) wa Microsoft unatumika kama ukumbusho kwamba usalama sio tu kupeleka MFA – lazima pia usanidiwe ipasavyo,” James Scobey, afisa mkuu wa usalama wa usalama katika Keeper Security, alisema katika taarifa. “Ingawa MFA bila shaka ni utetezi wenye nguvu, ufanisi wake unategemea mipangilio muhimu, kama vile kupunguza kasi ili kuzuia majaribio ya nguvu ya kikatili na arifa za mtumiaji kwa majaribio yasiyofanikiwa ya kuingia. Vipengele hivi si vya hiari; ni muhimu kwa kuimarisha mwonekano, kuruhusu watumiaji tambua shughuli za kutilia shaka mapema na ujibu haraka.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply