Equipe de Pesquisa de Segurança da Oasis Descobre Bypass de MFA do Microsoft Azure
2024-12-12
A equipe de pesquisa de segurança da Oasis descobriu uma vulnerabilidade crítica na implementação da autenticação multifator (MFA) do Microsoft Azure. Ataques podiam contornar a MFA para obter acesso não autorizado às contas de usuário, incluindo Outlook, OneDrive, Teams e Azure Cloud. A vulnerabilidade explorou a falta de limite de taxa, permitindo a criação rápida de sessões e a enumeração de códigos para esgotar as possibilidades de um código de 6 dígitos sem alertas. A Microsoft implementou desde então um limite de taxa mais estrito para resolver o problema. Isso destaca a importância de habilitar a MFA e monitorar as tentativas malsucedidas.