Oasisセキュリティ調査チームがMicrosoft Azure MFAバイパスを発見

2024-12-12

Oasisセキュリティ調査チームは、Microsoft Azureの多要素認証(MFA)実装における重大な脆弱性を発見しました。攻撃者はMFAをバイパスして、Outlook、OneDrive、Teams、Azureクラウドなど、ユーザーアカウントへの不正アクセスを取得できました。この脆弱性は、レート制限の欠如を利用しており、警告なしに6桁のコードの可能性を急速に使い果たすために、セッションを迅速に作成し、コードを列挙することができました。Microsoftはその後、この問題に対処するためにより厳しいレート制限を導入しました。これは、MFAの有効化と失敗した試行の監視の重要性を強調しています。