Onderzoeker kon alle Microsoft-accounts zonder 2FA overnemen
Beveiligingsonderzoeker Laxman Muthiyah kon elk willekeurig Microsoft-account waar geen tweefactorauthenticatie (2FA) voor was ingeschakeld overnemen, zo laat hij in een analyse weten. De onderzoeker waarschuwde Microsoft eind vorig jaar, waarna het probleem werd verholpen. Voor zijn bugmelding ontving Muthiyah een beloning van 50.000 dollar van het techbedrijf.
Eigenaren van een Microsoft-account die hun wachtwoord zijn vergeten kunnen een wachtwoordreset uitvoeren. Gebruikers moeten hiervoor hun e-mailadres of telefoonnummer opgeven, waarna Microsoft hier een zevencijferige beveiligingscode naar toe stuurt. Met deze code kan een nieuw wachtwoord worden ingevoerd.
Aangezien de code uit zeven cijfers bestaat zijn er in totaal tien miljoen mogelijke combinaties. Microsoft past "rate limiting" toe om bruteforce-aanvallen te voorkomen. Muthiyah ontdekte dat deze beveiliging is te omzeilen als alle codes precies op hetzelfde moment bij de server aankomen. Ter demonstratie verstuurde hij duizend zevencijferige codes waarmee hij de wachtwoordreset van het testaccount kon uitvoeren.
De aanval werkt niet wanneer een gebruiker tweefactorauthenticatie heeft ingeschakeld. Gebruikers die deze beveiligingsmaatregel hebben ingesteld moeten voor een wachtwoordreset eerst een zescijferige code invoeren die via de authenticator-app is gegenereerd, waarna pas de zevencijferige code moet worden ingevoerd. Muthiyah rapporteerde het probleem afgelopen november aan Microsoft, waarna er snel een patch werd uitgerold. Microsoft beloonde de onderzoeker voor zijn bugmelding met 50.000 dollar. Details van de kwetsbaarheid zijn nu bekendgemaakt.
Dit geeft dus maar weer aan hoe belangrijker MFA (spreek liever over multifactor authenticatie) wordt en wachtwoorden alleen niet meer afdoende zijn, hoe sterk ze ook mogen zijn..
Dit geeft dus maar weer aan hoe belangrijker MFA (spreek liever over multifactor authenticatie) wordt en wachtwoorden alleen niet meer afdoende zijn, hoe sterk ze ook mogen zijn..
Toch lekker 50k cashen voor deze finding :D
Ik had het ook anders gelezen.
Maar of hij alle accounts kon overnemen, haal ik niet uit het stuk, want hij moet dan nog steeds bruteforcen om 10000 x die 1000 codes over te sturen. Ik kan me voorstellen dat de kans dan redelijk is dat het bij een paar lukt, maar dan zal zijn poging toch snel geblokkeerd worden.
Tenzij hier het woord "alle' ook als "elk willekeurig" gelezen moet worden. (-:
Dit geeft dus maar weer aan hoe belangrijker MFA (spreek liever over multifactor authenticatie) wordt en wachtwoorden alleen niet meer afdoende zijn, hoe sterk ze ook mogen zijn..
Toch lekker 50k cashen voor deze finding :D
50k is karig gezien hoeveel de zwarte markt voor zoiets zou geven. Met al deze cryptohype en uitgelekte e-mailadressen is zo'n bug een gigantisch probleem.
MFA moet gewoon de standaard worden.
En daarnaast hebben we ook nog de praktische criminaliteit.
Waar een wil is .. is een weg zei de rat. Er is altijd wel een gaatje in dat huis te vinden. Want ik wil daar komen omdat er zakken met graan liggen.
Mmm misschien moeten we die zakken met graan ergens anders leggen en het zo doen lijken dat ze in schuur 1 liggen in plaats van schuur 2.
De Microsoft authenticator was ook leeg maar die heeft de mogelijkheid om te recoveren uit de security vault, alleen had de toenmalige versie een bug en werkte dat niet. Gelukkig waren dat alleen werk accounts en was laten resetten door de administrator en opnieuw instellen de oplossing.
Ik gebruik ook een multifactor voor de admin login op mijn NAS, alleen heeft de interne klok genoeg drift om dit niet te laten werken en de interne ntp sync werkt blijkbaar ook niet zoals het hoort. Ik heb dan maar zelf een cron job toegevoegd die elke nacht dit forceert.
2 factor, het is extra veiligheid maar het heeft me al heel veel tijd gekost.
Hahahaha
Lol. heerlijk :)
En daarnaast hebben we ook nog de praktische criminaliteit.
Waar een wil is .. is een weg zei de rat. Er is altijd wel een gaatje in dat huis te vinden. Want ik wil daar komen omdat er zakken met graan liggen.
Mmm misschien moeten we die zakken met graan ergens anders leggen en het zo doen lijken dat ze in schuur 1 liggen in plaats van schuur 2.
MFA kan heel veilig zijn, afhankelijk van de vorm. Waar je vermoedelijk op doelt is dat er tegenwoordig partijen zijn die MFA op basis van voice en SMS kunnen omzeilen/spoofen. Dat is waarom al een tijd wordt aangeraden om MFA op basis van een app of (fido2) token te doen.
Los daarvan: MFA is onvergelijkbaar veel veiliger dan userid/wachtwoord.
En daarnaast hebben we ook nog de praktische criminaliteit.
Waar een wil is .. is een weg zei de rat. Er is altijd wel een gaatje in dat huis te vinden. Want ik wil daar komen omdat er zakken met graan liggen.
Mmm misschien moeten we die zakken met graan ergens anders leggen en het zo doen lijken dat ze in schuur 1 liggen in plaats van schuur 2.
MFA kan heel veilig zijn, afhankelijk van de vorm. Waar je vermoedelijk op doelt is dat er tegenwoordig partijen zijn die MFA op basis van voice en SMS kunnen omzeilen/spoofen. Dat is waarom al een tijd wordt aangeraden om MFA op basis van een app of (fido2) token te doen.
Los daarvan: MFA is onvergelijkbaar veel veiliger dan userid/wachtwoord.
Eens het is veiliger maar zeker niet onfeilbaar. Het blijft allemaal mensen werk en die zijn juist het zwakke punt. Vanuit praktisch oogpunt zoals een crimineel denkt en daar hoef je geen Einstein voor te zijn . zijn er zo al en aantal manieren te vinden om ook dit weer te omzeilen. En dan heb ik het niet over je voorbeelden.
En dan zal ik wel schoppen tegen de schenen van personen die het toevallig niet goed uitkomt vanwege allerlei belangen.
Een crimineel hoeft zich aan geen enkele grens te houden.
We denken vaak vanuit een bepaalde invalshoek terwijl het in feite enkel om een probleem gaat en hoe die omzeilt gaat worden.
Stel dat ik een belangrijk account v.e. persoon X op het oog heb.. Dan ga ik niet moeilijk doen. Ik kidnap de persoon in kwestie. Je zet hem onder druk.op wat voor zieke manier dan ook..dan werkt die wel mee en klaar ben je.
Je dreigt dat je zijn hele gezin uitmoordt om zijn mond te doen houden.
Sta je dan met MFA die op zich wel veilig is.
Ik bedoel er mee dat we als Security specialist ook praktisch moeten denken. Hoe kun je zoiets voorkomen? Het is allemaal zo veilig als de condities in het lab. En dat we met een harde realiteit te maken hebben is een feit...
Soms moet je gewoon geen zaken digitaal ontsluitbaar maken. Maar goed dat valt weer onder Risk Management en data classificatie en het gekozen security model.
Kortom bezin eer je begint.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
