AuthQuake: Kerentanan MFA Microsoft Memungkinkan Serangan Brute-Force Tanpa Batas

AuthQuake: Kerentanan MFA Microsoft Memungkinkan Serangan Brute-Force Tanpa Batas

Posted by : Admin , Dec 23, 2024
Peneliti keamanan menemukan kerentanan kritikal dalam implementasi multi-factor authentication (MFA) Microsoft, yang memungkinkan penyerang melewati perlindungan dan mendapatkan akses tidak sah ke akun korban tanpa memberikan notifikasi atau indikasi kepada pemilik akun. Disebut AuthQuake, kelemahan ini memungkinkan hingga satu juta kombinasi kode enam digit diuji dalam waktu singkat karena tidak adanya batasan jumlah percobaan dan waktu validasi kode yang diperpanjang hingga tiga menit, dibandingkan dengan standar 30 detik. Kerentanan ini memanfaatkan sifat kode TOTP (time-based one-time password), yang dipengaruhi oleh perbedaan waktu antara validator dan pengguna. Microsoft telah memperbaiki masalah ini pada Oktober 2024 dengan menerapkan batasan percobaan yang lebih ketat dan durasi penguncian akun setelah gagal login berturut-turut. Peneliti menekankan bahwa pengaturan seperti rate-limiting dan notifikasi gagal login adalah komponen esensial untuk meningkatkan visibilitas pengguna dan mendeteksi aktivitas mencurigakan lebih awal

Sumber : https://thehackernews.com/2024/12/microsoft-mfa-authquake-flaw-enabled.html