Aggiornamenti recenti Gennaio 13th, 2025 2:00 PM
Dic 12, 2024 Marina Londei Hacking, In evidenza, Minacce, News, RSS 0
Il team di sicurezza di Oasis ha scoperto una vulnerabilità critica nell’implementazione di Microsoft dell’MFA che consente a un attaccante di ottenere l’accesso all’account di un utente, comprese le email, i file di OneDrive, le chat di Teams e l’ambiente Azure Cloud.
Tal Hason, ricercatore del team, ha spiegato che realizzare l’exploit è stato molto semplice: il gruppo ci ha messo solo un’ora; inoltre, l’exploit non necessita dell’interazione utente e non ha generato alcun avviso di sicurezza per l’account.
Quando l’utente naviga sulla pagina di login dei servizi Microsoft, gli viene assegnato un identificatore di sessione. Tra i metodi MFA supportati da Microsoft, c’è anche l’uso di un’applicazione (un authenticator) che genera un codice di 6 cifre per completare il processo di login. Il meccanismo supporta fino a 10 tentativi per una singola sessione, poi blocca l’accesso.
I ricercatori di Oasis hanno creato in poco tempo nuove sessioni per gli account e liste di codici; il numero elevato di tentativi ha esaurito il numero di opzioni per un codice a 6 cifre (1 milione di possibilità). Il team ha eseguito numerosi tentativi contemporaneamente e per di più i proprietari degli account non hanno ricevuto alcun avviso per il numero di tentativi falliti.
Un altro aspetto da tenere in considerazione è che il codice TOTP generato è valido per più di 30 secondi, l’impostazione base per applicazioni di autenticazione di questo tipo. I test di Oasis hanno dimostrato che nel caso di Microsoft, la tolleranza era di circa 3 minuti per ogni singolo codice; ciò permette di eseguire un numero di tentativi 6 volte superiore alla norma.
“Dato il tasso consentito, avevamo il 3% di possibilità di indovinare il codice entro l’intervallo di tempo esteso“ ha spiegato Hason. “Dopo 24 sessioni di questo tipo (circa 70 minuti), un attaccante avrebbe già superato il 50% di probabilità di ottenere un codice valido“. Il team ha infatti applicato questo exploit con successo diverse volte.
Dopo la scoperta della falla, Oasis ha contattato subito Microsoft e le due compagnie hanno collaborato per risolvere il problema. “Anche se i dettagli specifici delle modifiche sono confidenziali, possiamo confermare che Microsoft ha introdotto un limite più stringente ch entra in gioco dopo un certo numero di tentativi falliti; il limite dura circa mezza giornata” ha spiegato Hason.
Il team ha infine ricordato le buone pratiche per proteggersi dagli attacchi di furto di account, a cominciare dall’abilitazione dell’MFA per tutti gli utenti, soprattutto quelli con accesso ai dati critici. Oltre a ciò, è necessario cambiare regolarmente la password e implementare meccanismi di alerting di accesso all’account che mettano in evidenza gli avvisi di accessi effettuati correttamente.
Dic 27, 2024 0
Dic 03, 2024 0
Nov 15, 2024 0
Nov 08, 2024 0
Gen 13, 2025 0
Gen 13, 2025 0
Gen 09, 2025 0
Gen 08, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 13, 2025 0
I ricercatori di Check Point Research hanno studiato una...Gen 13, 2025 0
Nel corso della settimana, il CERT-AGID ha rilevato e...Gen 09, 2025 0
Di recente è emersa una nuova campagna di phishing che...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 07, 2025 0
Lo scorso venerdì Moxa, provider di reti industriali, ha...