El equipo de investigación de seguridad de Oasis descubre un bypass de MFA de Microsoft Azure

2024-12-12

El equipo de investigación de seguridad de Oasis descubrió una vulnerabilidad crítica en la implementación de la autenticación multifactor (MFA) de Microsoft Azure. Los atacantes podían eludir la MFA para obtener acceso no autorizado a las cuentas de usuario, incluidos Outlook, OneDrive, Teams y Azure Cloud. La vulnerabilidad explotaba la falta de límite de velocidad, lo que permitía la creación rápida de sesiones y la enumeración de códigos para agotar las posibilidades de un código de 6 dígitos sin alertas. Microsoft ha implementado desde entonces un límite de velocidad más estricto para solucionar el problema. Esto destaca la importancia de habilitar la MFA y supervisar los intentos fallidos.