Oasis Security Research Team entdeckt Microsoft Azure MFA-Umgehung

2024-12-12

Das Oasis Security Research Team hat eine kritische Sicherheitslücke in der Implementierung der Multi-Faktor-Authentifizierung (MFA) von Microsoft Azure entdeckt. Angreifer konnten die MFA umgehen und so unbefugten Zugriff auf Benutzerkonten erhalten, darunter Outlook, OneDrive, Teams und die Azure Cloud. Die Schwachstelle nutzte die fehlende Ratenbegrenzung aus, wodurch schnell neue Sitzungen erstellt und Codes aufgezählt werden konnten, um die Möglichkeiten eines 6-stelligen Codes ohne Warnmeldungen zu erschöpfen. Microsoft hat seitdem eine strengere Ratenbegrenzung eingeführt, um das Problem zu beheben. Dies unterstreicht die Bedeutung der Aktivierung von MFA und der Überwachung fehlgeschlagener Versuche.