พบช่องโหว่ในกลไก MFA ของ Microsoft ที่แฮกเกอร์สามารถโจมตีแบบ Brute-force
Last updated: 13 Dec 2024
41 Views
สรุปข้อมูล
พบช่องโหว่ CVE-2024-43591 ในการ Multi-Factor Authentication (MFA) ของ Microsoft เรียกว่า AuthQuake ที่แฮกเกอร์สามารถ Bypass มาตรการความปลอดภัย MFA และเข้าถึงบัญชีผู้ใช้ รวมไปถึงอีเมล Outlook ไฟล์ OneDrive Chat ของ Teams และทรัพยากรต่าง ๆ บน Azure Cloud ได้อีกด้วย ซึ่งเวอร์ชันที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวคือ เวอร์ชัน 2.0.0 ถึงเวอร์ชันก่อน 2.65.0 ณ ปัจจุบันนี้ช่องโหว่ดังกล่าวทาง Microsoft ได้ดำเนินการแก้ไขและป้องกันเรียบร้อยแล้วโดยให้ผู้ใช้งานไปที่ Settings > Update & Security > Windows Update และคลิกไปที่ Check for updates button เพื่ออัปเดต Azure CLI และ Azure Service Connector เป็นเวอร์ชันที่ปลอดภัย
พบช่องโหว่ CVE-2024-43591 ในการ Multi-Factor Authentication (MFA) ของ Microsoft เรียกว่า AuthQuake ที่แฮกเกอร์สามารถ Bypass มาตรการความปลอดภัย MFA และเข้าถึงบัญชีผู้ใช้ รวมไปถึงอีเมล Outlook ไฟล์ OneDrive Chat ของ Teams และทรัพยากรต่าง ๆ บน Azure Cloud ได้อีกด้วย ซึ่งเวอร์ชันที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวคือ เวอร์ชัน 2.0.0 ถึงเวอร์ชันก่อน 2.65.0 ณ ปัจจุบันนี้ช่องโหว่ดังกล่าวทาง Microsoft ได้ดำเนินการแก้ไขและป้องกันเรียบร้อยแล้วโดยให้ผู้ใช้งานไปที่ Settings > Update & Security > Windows Update และคลิกไปที่ Check for updates button เพื่ออัปเดต Azure CLI และ Azure Service Connector เป็นเวอร์ชันที่ปลอดภัย
รายละเอียดเชิงเทคนิค
ข้อบกพร่องของ AuthQuake เกิดจากปัญหาในระบบ MFA ของ Microsoft ดังนี้:
ข้อบกพร่องของ AuthQuake เกิดจากปัญหาในระบบ MFA ของ Microsoft ดังนี้:
- การขาดการจำกัดจำนวนครั้งการเข้าสู่ระบบ: แฮกเกอร์สามารถสร้าง Session ใหม่และสามารถเดารหัสจำนวน 6 หลัก หลาย ๆ ชุดพร้อมกัน โดยสามารถพยายามป้อนรหัสเข้าสู่ระบบได้สูงสุด 10 ครั้งต่อหนึ่ง Session ได้
- การขาดการจำกัดเวลาในการตรวจสอบรหัสผ่าน: อย่างรหัสรูปแบบ Time-based One-time Passwords (TOTPs) เป็น Algorithm ในการสร้างรหัสผ่านแบบใช้ครั้งเดียวที่คำนวณจาก Secret Key และเวลา ณ ปัจจุบัน ซึ่งรหัส TOTPs นั้นใช้งานได้เพียง 30 วินาทีเท่านั้น แต่เนื่องจากเกิดการ Delay ระหว่าง Validator และ User ส่งผลให้ Validator ขยายขอบเขตเวลากว้างขึ้นได้นานถึง 3 นาที และทำให้เพิ่มโอกาศให้แฮกเกอร์สามารถ Brute-force สำเร็จมากขึ้น
วิธีการโจมตี AuthQuake โดยการใช้ประโยชน์จาก Time-based One-time Passwords (TOTPs) มีรายละเอียดดังนี้:
- แฮกเกอร์สร้าง Session หลาย ๆ Session ด้วยพารามิเตอร์เดียวกัน
- ใช้ช่องโหว่เกี่ยวกับการจำกัดจำนวนครั้งที่ผิดพลาดในการสร้าง Session ใหม่และการ Enumerate รหัสผ่าน
- แฮกเกอร์ใช้ช่องโหว่การขาดการจำกัดเวลาในการเพิ่มโอกาศในการยิงแต่ละ Session เดารหัสผ่านให้ถูกต้อง
ผลกระทบจากการโจมตี
ช่องโหว่ในระบบ Multi-Factor Authentication (MFA) ของ Microsoft ทำให้แฮกเกอร์สามารถโจมตีด้วยเทคนิค Brute-force เพื่อเข้าถึงบัญชีผู้ใช้งานได้สำเร็จ หลังจากเข้าสู่ระบบ แฮกเกอร์ใช้สิทธิ์ของบัญชีผู้ใช้งานนั้น ๆ ในเข้าถึงข้อมูลและทรัพยากรต่าง ๆ ภายในระบบได้
คำแนะนำ
- ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ Microsoft
- หมั่นตรวจสอบและอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ
- เปิดการใช้งาน Multi-Factor Authentication (MFA) ที่ได้รับการแก้ไขแล้ว
- หมั่นตรวจสอบการใช้งานและเพิ่มแจ้งเตือนผ่านอีเมลหากมีการ MFA ผิดพลาดหลายครั้ง
- Awareness Training ให้กับพนักงานภายในองค์กรเกี่ยวกับความสำคัญของ MFA และวิธีการใช้งาน
แหล่งอ้างอิง
https://thehackernews.com/2024/12/microsoft-mfa-authquake-flaw-enabled.html
https://cybersecuritynews.com/microsoft-azure-vulnerability/
