Microsoft устранила уязвимость в системе двухфакторной аутентификации, которая позволяла злоумышленникам обходить защиту и получать доступ к аккаунтам жертв без их ведома. Проблема, получившая название AuthQuake, была выявлена специалистами компании Oasis Security и устранена в октябре 2024 года.
Как сообщили исследователи, обход системы занимал около часа, не требовал действий со стороны пользователя и не генерировал никаких системных уведомлений. Уязвимость была связана с отсутствием ограничения на количество попыток ввода одноразового кода и расширенным временным окном для его проверки.
Microsoft использует шестизначные коды, генерируемые аутентификатором, которые действительны в течение 30 секунд. Однако код оставался активным до трёх минут из-за особенностей синхронизации времени, что давало злоумышленникам возможность проводить многочисленные попытки подбора.
Основной механизм атаки заключался в переборе всех возможных комбинаций кода (до миллиона вариантов) за короткий промежуток времени. При этом жертва не получала никаких уведомлений о неудачных попытках входа.
Microsoft внедрила более строгие ограничения на число попыток ввода, чтобы исключить подобные атаки. Теперь после нескольких неудачных попыток активация блокировки может длиться до полусуток. Специалисты Oasis отмечают, что важными мерами остаются не только ограничения, но и уведомления о подозрительных действиях.
AuthQuake стал напоминанием о том, что даже мощные системы защиты требуют регулярного тестирования и настройки для противодействия современным угрозам.