bencede
New member
Microsoft'un Azure bulutu, çok faktörlü kimlik doğrulamayı (MFA) kullanarak erişim koruması sunar. Ancak yakın zamana kadar Microsoft bunu uygulamada bir hata yapmıştı: Saldırganlar MFA doğrulama kodlarını tahmin edebilirdi. Microsoft artık sorunu düzeltti.
Duyuru
Oasis'teki BT araştırmacıları bir blog yazısında geçici çözümün yaklaşık bir saat sürdüğünü, kullanıcı etkileşimi gerektirmediğini ve hesap sahipleri için herhangi bir bildirim veya uyarı oluşturmadığını söyledi. Saldırganlar daha sonra Outlook e-postalarına, OneDrive dosyalarına, Teams sohbetlerine, Azure bulutuna ve daha fazlasına yetkisiz erişim elde edebilir.
Zayıf nokta: Hız sınırının eksik olması
Geçerli bir kullanıcı adı ve şifre girdikten sonra kullanıcılardan kimliklerini onaylamaları istenecektir. Microsoft, kimlik doğrulayıcı doğrulama kodu da dahil olmak üzere bu amaç için çeşitli MFA yöntemlerini destekler. Microsoft bir oturumda en fazla on başarısız denemeye izin verdi. Yeni oturumlar oluşturarak ve doğrulama kodlarını hızlı bir şekilde arka arkaya deneyerek, bilgisayar araştırmacıları altı basamaklı kodun milyonlarca olasılığını hızlı bir şekilde deneyebildiler. Birçok deney aynı anda başlatılabilir.
Bu deneme süresi boyunca, hesap sahipleri çok sayıda başarısız denemeye ilişkin herhangi bir uyarı almadı, bu da bu saldırının gerçekleştirilmesini oldukça kolaylaştırdı. Ancak başka bir sınırlayıcı faktör daha var.
Bilgisayar araştırmacıları, doğrulama kodunu tahmin etme süresinin sınırlı olduğunu açıklıyor. Oasis, genellikle her 30 saniyede bir değişen çoğu uygulamanın ve doğrulayıcının bu ayarı kullandığını açıklıyor. Ancak standarda uygun olarak doğrulayıcılar, kullanıcılar ile doğrulayıcı arasındaki zaman farklarını ve gecikmeleri telafi etmek için daha uzun bir süre tanır. Microsoft, doğrulama kodunun geçerli kalması için yaklaşık üç dakika süre tanıdı. Bu, doğrulama kodlarını test etmek için burada herhangi bir tolerans ayarlanmamışsa altı kat daha fazla girişimde bulunulabileceği anlamına geliyordu.
Oasis araştırmacıları, izin verilen deneme oranıyla, uzatılan zaman dilimi içinde doğru kodu tahmin etme şanslarının %3 olduğunu hesaplıyor. Kötü niyetli aktörler muhtemelen geçerli bir başarı elde edene kadar devam edecek ve daha fazla oturum başlatacaktır. Siber güvenlik araştırmacıları bunu engelleyebilecek hiçbir engel veya sınırlama bulamadı. 70 dakikada tamamlanabilen bu tür 24 oturumdan sonra, saldırganlar zaten %50'den fazla geçerli kod yakalama şansına sahip oldular ve bu, birden fazla olası denemeyle uzatılan zaman aralığını hesaba katmıyor.
Oasis ekibi bu yöntemi birçok kez başarıyla test etti. Microsoft, BT araştırmacılarından gelen bilgilere yanıt verdi ve Ekim ayında soruna son bir düzeltme uyguladı. Ancak Microsoft'un çözümünün ayrıntıları gizlidir. Her halükarda çok daha ağır bir tarife sınırı getirildi.
(Bilmiyorum)
Duyuru
Oasis'teki BT araştırmacıları bir blog yazısında geçici çözümün yaklaşık bir saat sürdüğünü, kullanıcı etkileşimi gerektirmediğini ve hesap sahipleri için herhangi bir bildirim veya uyarı oluşturmadığını söyledi. Saldırganlar daha sonra Outlook e-postalarına, OneDrive dosyalarına, Teams sohbetlerine, Azure bulutuna ve daha fazlasına yetkisiz erişim elde edebilir.
Zayıf nokta: Hız sınırının eksik olması
Geçerli bir kullanıcı adı ve şifre girdikten sonra kullanıcılardan kimliklerini onaylamaları istenecektir. Microsoft, kimlik doğrulayıcı doğrulama kodu da dahil olmak üzere bu amaç için çeşitli MFA yöntemlerini destekler. Microsoft bir oturumda en fazla on başarısız denemeye izin verdi. Yeni oturumlar oluşturarak ve doğrulama kodlarını hızlı bir şekilde arka arkaya deneyerek, bilgisayar araştırmacıları altı basamaklı kodun milyonlarca olasılığını hızlı bir şekilde deneyebildiler. Birçok deney aynı anda başlatılabilir.
Bu deneme süresi boyunca, hesap sahipleri çok sayıda başarısız denemeye ilişkin herhangi bir uyarı almadı, bu da bu saldırının gerçekleştirilmesini oldukça kolaylaştırdı. Ancak başka bir sınırlayıcı faktör daha var.
Bilgisayar araştırmacıları, doğrulama kodunu tahmin etme süresinin sınırlı olduğunu açıklıyor. Oasis, genellikle her 30 saniyede bir değişen çoğu uygulamanın ve doğrulayıcının bu ayarı kullandığını açıklıyor. Ancak standarda uygun olarak doğrulayıcılar, kullanıcılar ile doğrulayıcı arasındaki zaman farklarını ve gecikmeleri telafi etmek için daha uzun bir süre tanır. Microsoft, doğrulama kodunun geçerli kalması için yaklaşık üç dakika süre tanıdı. Bu, doğrulama kodlarını test etmek için burada herhangi bir tolerans ayarlanmamışsa altı kat daha fazla girişimde bulunulabileceği anlamına geliyordu.
Oasis araştırmacıları, izin verilen deneme oranıyla, uzatılan zaman dilimi içinde doğru kodu tahmin etme şanslarının %3 olduğunu hesaplıyor. Kötü niyetli aktörler muhtemelen geçerli bir başarı elde edene kadar devam edecek ve daha fazla oturum başlatacaktır. Siber güvenlik araştırmacıları bunu engelleyebilecek hiçbir engel veya sınırlama bulamadı. 70 dakikada tamamlanabilen bu tür 24 oturumdan sonra, saldırganlar zaten %50'den fazla geçerli kod yakalama şansına sahip oldular ve bu, birden fazla olası denemeyle uzatılan zaman aralığını hesaba katmıyor.
Oasis ekibi bu yöntemi birçok kez başarıyla test etti. Microsoft, BT araştırmacılarından gelen bilgilere yanıt verdi ve Ekim ayında soruna son bir düzeltme uyguladı. Ancak Microsoft'un çözümünün ayrıntıları gizlidir. Her halükarda çok daha ağır bir tarife sınırı getirildi.
(Bilmiyorum)