محققان امنیت سایبری یک آسیبپذیری امنیتی «حیاتی» را در پیادهسازی احراز هویت چند عاملی (MFA) مایکروسافت Azure علامتگذاری کردهاند که به مهاجم اجازه میدهد بهطور پیش پا افتاده راهکارهای حفاظتی را دور بزند و به حساب قربانی دسترسی غیرمجاز داشته باشد.
محققان Oasis Security در گزارشی گفتند: این بایپس ساده نیازی به تعامل کاربر ندارد و هیچ اعلانی ایجاد یا هیچ نشانهای از نقص به صاحب حساب ارائه نمیکند. پس از افشای مسئولانه، این مشکل – تحت عنوان AuthQuake – توسط مایکروسافت در اکتبر 2024 برطرف شد.
آسیبپذیری شناساییشده توسط Oasis، مربوط به عدم محدودیت نرخ و فاصله زمانی طولانیتر هنگام ارائه و اعتبارسنجی این کدهای یکبار مصرف است، در نتیجه به عامل مخرب اجازه میدهد تا به سرعت نشستهای جدیدی ایجاد کند و همه جایگشتهای ممکن کد (یعنی یک میلیون) را را حتی بدون هشدار به قربانی در مورد تلاشهای ناموفق برای ورود، امتحان کند.
https://thehackernews.com/2024/12/microsoft-mfa-authquake-flaw-enabled.html
