{"id":11090,"date":"2024-12-13T14:26:10","date_gmt":"2024-12-13T14:26:10","guid":{"rendered":"https:\/\/byte-bucket.com\/2024\/12\/13\/sicherheitsluecke-in-azure-mfa-geschlossen-angreifer-konnten-codes-erraten\/"},"modified":"2024-12-13T14:26:10","modified_gmt":"2024-12-13T14:26:10","slug":"sicherheitsluecke-in-azure-mfa-geschlossen-angreifer-konnten-codes-erraten","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=11090","title":{"rendered":"Sicherheitsl\u00fccke in Azure MFA geschlossen: Angreifer konnten Codes erraten"},"content":{"rendered":"<p>Microsoft Azure, die beliebte Cloud-Plattform des Tech-Giganten, bot bisher den Zugangsschutz durch Mehr-Faktor-Authentifizierung (MFA) an. Allerdings enthielt dieses System bis vor kurzem eine ernstzunehmende Schwachstelle, die es Angreifern erm\u00f6glichte, Verifikationscodes f\u00fcr MFA zu erraten und unberechtigt auf sensible Daten zuzugreifen.<\/p>\n<p>Die IT-Forscher von Oasis haben diese L\u00fccke in einem Blog-Beitrag \u00f6ffentlich aufgedeckt und detailliert beschrieben. Ihr Vorgehen war bemerkenswert einfach: Durch das Erstellen einer Vielzahl parallel laufender Sessions und das automatisierte Ausprobieren verschiedener Verifikationscodes konnten sie innerhalb k\u00fcrzester Zeit \u2013 rund eine Stunde \u2013 Millionen von m\u00f6glichen Codekombinationen durchtesten. <\/p>\n<p>Aufgrund fehlender Nutzerinteraktion und Warnmeldungen w\u00e4hrend des Prozesses blieb der Angriff f\u00fcr die Kontoinhaber unsichtbar.<\/p>\n<p> Die Schwachstelle im Detail: <\/p>\n<p>* Vielf\u00e4ltige Versuche: Die Forscher konnten bis zu zehn Fehlversuche pro Session zulassen, was es erm\u00f6glichte, parallel zahlreiche Versuche durchzuf\u00fchren und so den Code-Raum effizient abzuarbeiten.<br \/>\n* Erweiterter G\u00fcltigkeitszeitraum: W\u00e4hrend ein Verifikationscode in der Regel alle 30 Sekunden erneuert wird, tolerierte Microsoft eine l\u00e4ngere G\u00fcltigkeit von etwa drei Minuten. Dies erlaubte deutlich mehr Versuche im Vergleich zu den Standard-Einstellungen und erh\u00f6hte die Erfolgschancen f\u00fcr Angreifer.<br \/>\n* Fehlende Grenzen: Oasis stie\u00df auf keine technischen H\u00fcrden oder Limits, die dieses Vorgehen erschwert h\u00e4tten. Innerhalb von 70 Minuten \u2013 \u00fcber 24 Sessions hinweg \u2013 erreichten sie eine Wahrscheinlichkeit von \u00fcber 50 Prozent, einen g\u00fcltigen Code zu ermitteln.<\/p>\n<p>Die Forscher betonten, dass dieser Angriff erfolgreich mehrfach nachgebildet wurde und ein ernstes Sicherheitsrisiko darstellte.<\/p>\n<p> Microsoft reagiert: Nach Bekanntwerden des Problems reagierte Microsoft im Oktober mit einem finalen Fix. Die genauen Details der L\u00f6sung blieben vertraulich. Fest steht jedoch, dass ein deutlich strengeres Rate-Limit eingef\u00fchrt wurde, um zuk\u00fcnftige Angriffe dieser Art zu verhindern.<\/p>\n<p>Diese Episode unterstreicht die Wichtigkeit kontinuierlicher Sicherheits\u00fcberpr\u00fcfungen und Anpassungen in cloudbasierten Umgebungen. Sie zeigt auch, wie wichtig eine transparente Kommunikation zwischen Sicherheitsforschern und Technologieanbietern ist, um Schwachstellen zu beheben und Nutzer vor potenziellen Bedrohungen zu sch\u00fctzen.<\/p>\n<p>Schlagw\u00f6rter: Microsoft + MFA + Microsofts<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft Azure, die beliebte Cloud-Plattform des Tech-Giganten, bot bisher den Zugangsschutz durch Mehr-Faktor-Authentifizierung (MFA) an. Allerdings enthielt dieses System bis vor kurzem eine ernstzunehmende Schwachstelle, die es Angreifern erm\u00f6glichte, Verifikationscodes f\u00fcr MFA zu erraten und unberechtigt auf sensible Daten zuzugreifen. Die IT-Forscher von Oasis haben diese L\u00fccke in einem Blog-Beitrag&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":11089,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-11090","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/11090","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11090"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/11090\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/11089"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11090"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11090"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11090"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}