Tal como muitas plataformas na Internet, a Microsoft aplica proteções de autenticação em duas etapas para as suas contas e serviços, nomeadamente o Outlook, Teams, Azure, entre outros. No entanto, a empresa não aplica limites nas tentativas que podem ser feitas de autenticação, abrindo portas para possíveis ataques.
De acordo com a empresa de segurança Oasis Security, a Microsoft não limita as tentativas que podem ser feitas pelo sistema de autenticação via código, o que permite que se possa tentar adivinhar o código de forma automática.
Segundo a Microsoft, usar um sistema de autenticação em duas etapas evita em 99% os possíveis ataques a contas da entidade. Porém, um grupo de investigadores revelou que existe uma falha considerada grave no sistema de proteção da empresa, que pode deixar milhares de contas vulneráveis a ataques.
Se os hackers conseguirem obter acesso às contas, através de senhas comprometidas, estes podem conseguir também contornar a autenticação em duas etapas das mesmas, visto que a Microsoft não aplica limites nas tentativas que podem ser feitas para autenticação.
Ou seja, os atacantes podem tentar ataques de brute force para adivinharem o código de segurança, visto que os sistemas da Microsoft não limitam essas tentativas, mesmo que incorretas. Além disso, explorando essa falha, os atacantes podem obter acesso às contas dos utilizadores praticamente sem notificarem a pessoa responsável pela mesma, visto que não existem notificações das tentativas realizadas.
Embora o sistema da Microsoft aplique um limite de dez tentativas de uso do código de autenticação em duas etapas, nada impede que os atacantes voltem a realizar os pedidos de login, e basicamente tenham “dez tentativas” de forma indefinida. A contagem reinicia sempre que é feito um pedido de login, portanto basta voltar a realizar o mesmo para realizar o “reset” da contagem.
Além disso, embora os códigos sejam regenerados nas apps a cada 30 segundos, a maioria das plataformas permite que códigos mais antigos sejam usados por períodos de tempo mais alargados. Neste caso, a Microsoft fornecia quase três minutos para usar os códigos.
Com isto, os atacantes podem iniciar ataques de acesso às contas, sem que os afetados sejam notificados de tal ação. Embora a autenticação em duas etapas ainda seja algo fundamental, e fortemente recomendado para todas as plataformas, ao mesmo tempo esta falha da Microsoft abre portas para que sejam realizados ataques diretamente às contas da empresa.
Até ao momento a Microsoft não deixou comentários sobre a falha, nem revelou se pretende corrigir a mesma no futuro.
Nenhum comentário
Seja o primeiro!