Investigadores de Oasis Security descubrieron una vulnerabilidad crítica en el sistema de autenticación multifactor (MFA) de Microsoft Azure que permitía el acceso no autorizado a cuentas de usuario, incluyendo correos de Outlook, archivos de OneDrive, chats de Teams y más. La falla residía en la ausencia de un límite en la cantidad de intentos fallidos de inicio de sesión con MFA, lo que exponía a más de 400 millones de suscriptores de Microsoft 365 a posibles secuestros de cuentas.

Al iniciar sesión en una cuenta de Microsoft, el usuario proporciona su correo electrónico y contraseña, y luego selecciona un método de MFA preconfigurado. En el caso estudiado por los investigadores, se proporcionaba un código a través de otro medio de comunicación para facilitar el acceso. Los investigadores lograron eludir la seguridad, en un ataque que denominaron "AuthQuake", creando rápidamente nuevas sesiones y enumerando códigos. Esto les permitió realizar una alta tasa de intentos que agotaba rápidamente las posibles combinaciones de un código de 6 dígitos, que ascienden a un millón.

"En pocas palabras, uno podría ejecutar muchos intentos simultáneamente", explicó Tal Hason, ingeniero de investigación de Oasis, en una publicación. Además, durante los múltiples intentos fallidos de inicio de sesión, los propietarios de las cuentas no recibían ninguna alerta sobre la actividad, lo que hacía que esta vulnerabilidad y técnica de ataque pasaran desapercibidas.

Oasis informó a Microsoft sobre el problema, quien reconoció su existencia en junio y lo solucionó permanentemente el 9 de octubre. Aunque los detalles específicos de los cambios son confidenciales, se confirmó que Microsoft introdujo un límite mucho más estricto que se activa después de varios intentos fallidos; este límite estricto dura alrededor de medio día.

Otro problema que permitía la elusión del MFA era que el tiempo disponible para que un atacante adivinara un solo código era 2.5 minutos más largo que el marco de tiempo recomendado para una contraseña de un solo uso basada en tiempo (TOTP) según el RFC-6238, la recomendación del Internet Engineering Task Force (IETF) para implementar MFA.

Este incidente destaca la importancia de implementar límites de tasa en los intentos de autenticación y de adherirse a las recomendaciones estándar para los tiempos de validez de los códigos de MFA, con el fin de proteger las cuentas de usuario contra accesos no autorizados.