Une vulnérabilité critique dans le système d’authentification multifacteur (MFA) de Microsoft a laissé des millions de comptes exposés à un accès non autorisé. Découverte par Oasis Security, la faille permet aux attaquants de contourner la MFA, impactant plus de 400 millions d’utilisateurs payants d’Office 365. L’exploitation de cette faiblesse permet d’accéder à des services comme Outlook, OneDrive et Azure Cloud avec un minimum d’effort. Microsoft a confirmé le problème et a mis en œuvre des correctifs.
La vulnérabilité MFA de Microsoft expose des millions de personnes à des accès non autorisés
La vulnérabilité tourne autour du système de mot de passe à usage unique (TOTP) basé sur le temps. Les attaquants pourraient exploiter des mécanismes de limitation de débit insuffisants, leur permettant ainsi de deviner des codes à six chiffres à plusieurs reprises. Les utilisateurs disposaient de trois minutes maximum, soit nettement plus longtemps que l’intervalle standard de 30 secondes, pendant lesquelles ces codes restaient valides. Cela augmentait considérablement la probabilité de réussite d’une attaque : les attaquants pouvaient atteindre un taux de réussite de plus de 50 % en 70 minutes environ en lançant plusieurs sessions.
Dans le article de blog En détaillant les résultats, les chercheurs d’Oasis ont détaillé leur méthode d’exploitation, qu’ils ont appelée « AuthQuake ». Ils ont testé la faille en créant rapidement de nouvelles sessions et en énumérant les codes, démontrant un taux élevé de tentatives simultanées qui pouvaient rapidement épuiser les combinaisons possibles à six chiffres. Ces tactiques ont été exécutées sans interférence ni alerte de l’utilisateur, ce qui rend la méthode d’attaque discrète.
Après avoir été informé de la vulnérabilité, Microsoft a publié un correctif temporaire le 4 juillet 2024, suivi d’une solution permanente le 9 octobre 2024. Cette dernière a intégré des limites de débit plus strictes qui réduisent le nombre de tentatives qu’un attaquant peut effectuer dans un laps de temps donné. , renforçant les mesures de sécurité contre de tels exploits.
Malgré la résolution de cette faille spécifique, les experts en sécurité soulignent la nécessité cruciale d’une vigilance continue. Les recommandations destinées aux organisations utilisant MFA incluent l’application d’alertes en cas d’échec des tentatives d’authentification et l’examen régulier des configurations de sécurité pour identifier les vulnérabilités potentielles. Kris Bondi, PDG de Mimoto, a souligné l’importance de traiter la MFA comme une pratique minimale acceptable plutôt que comme une mesure de sécurité de pointe. Il a indiqué que même lorsque MFA fonctionne correctement, il ne vérifie le point final qu’à un moment donné, sans nécessairement confirmer l’identité de l’utilisateur.
Microsoft Teams cessera de fonctionner sur les anciennes versions de Windows et macOS
Les experts déconseillent également de s’appuyer sur des solutions MFA obsolètes. Jason Soroko, chercheur principal chez Sectigo, a fait écho à ce sentiment, soulignant la nécessité pour les organisations d’adopter des correctifs mis à jour et d’envisager d’évoluer vers des solutions d’authentification sans mot de passe pour les nouvelles implémentations.
Les meilleures pratiques émergentes incluent l’intégration d’alertes par courrier électronique pour informer les utilisateurs des tentatives MFA infructueuses tout en garantissant que les systèmes MFA appliquent des limites de débit qui empêchent les essais de connexion indéfinis. Les organisations sont également invitées à mettre en œuvre des mesures permettant de verrouiller les comptes après de nombreuses tentatives infructueuses pour contrecarrer les attaquants potentiels.
Crédit image en vedette : Ed Hardie/Unsplash