最近,著名的安全公司Oasis揭露了微软MFA(多重验证系统)的一个重大安全漏洞。根据Oasis发布的报告,这个漏洞被命名为AuthQuake,它允许黑客通过暴力破解动态验证码的方式轻易绕过安全验证,进而操控用户账户。
通常情况下,用户在登录微软账号时,需要在电脑网页端通过绑定的验证器App接收一个6位数的动态验证码,并在规定时间内输入以完成身份验证。为了提高安全性,如果用户连续输入错误验证码,系统会暂时锁定登录功能。但是,Oasis的研究人员发现,微软的验证机制存在一个致命缺陷:未对验证请求的频率进行有效限制。
详细来说,黑客可以使用高性能计算机快速生成大量新会话,并尝试所有可能的6位数验证码组合(共100万种)。通过这种暴力破解手段,黑客能在短时间内成功绕过MFA验证,控制用户账户,而且受害者可能不会收到任何预警。
Oasis的研究人员不仅发现了这个漏洞,还成功利用它在不到一小时内绕过了MFA验证。幸运的是,Oasis在6月下旬发现这一问题时,立即向微软通报。在双方的共同努力下,微软于7月和10月分别对漏洞进行了修复和缓解,有效预防了可能发生的大规模安全事件。
暂无评论