您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。

微软 MFA 多重验证曝 AuthQuake 重大漏洞,黑客可暴力穷举破解动态码登录系统

文 / 小亚 2024-12-15 12:02:19 来源:亚汇网

亚汇网参考报告获悉,这一漏洞主要涉及微软多重认证的账号验证器动态码系统,在正常情况下,如果用户要在PC网页端登录微软账号,需要通过手机上绑定了微软账号的验证器App生成6位动态验证码(OTP),在时效内输入以完成认证。如果用户连续输入错误超过10次,系统将暂时禁止用户登录。然而研究人员发现,这一认证机制实际缺乏对验证频率的限制,也就是黑客如果使用大型计算机,直接在账号系统验证手机App上动态验证码的这一小段时间中通过快速生成新会话(Session),在短时间内穷举尝试所有可能的验证密码排列组合(共计100万种),即可成功暴力破解认证机制,接管用户账号。研究人员表示,他们已利用该漏洞成功绕过MFA多重验证流程,整项测试过程大约持续一小时,同时系统也未向受害者发出任何警告。Oasis已于今年6月下旬向微软通报了这一问题。在双方合作下,微软分别于7月和10月对漏洞进行了修复和缓解。研究人员提到,微软账号系统出现如此问题的原因是该公司在设计验证手机App验证码时考虑到相关动态密码每30秒就会刷新一次,而认证系统与用户访问时间实际存在延迟,因此延长了验证码的有效时长,最长可达3分钟。这一设计给黑客提供了暴力破解机会。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。

相关新闻

加载更多...

排行榜 日排行 | 周排行