Avertissement de Microsoft alors que l’attaque de contournement 2FA sans interaction utilisateur est confirmée

Mise à jour du 14 décembre 2024 : cet article, initialement publié le 13 décembre, comprend désormais une déclaration de Microsoft concernant la vulnérabilité du contournement 2FA et l’impact qu’elle a observé sur les utilisateurs.

Des chercheurs en sécurité ont révélé comment ils ont découvert une vulnérabilité critique de Microsoft dans les défenses d’authentification à deux facteurs destinées à protéger les utilisateurs contre les attaques de pirates. La vulnérabilité, que Microsoft a maintenant corrigée, expose 400 millions d’utilisateurs d’Office 365 à une attaque de contournement 2FA ne nécessitant aucune interaction de l’utilisateur, ne déclenchant aucune alerte et ne prenant qu’une heure. Voici ce que vous devez savoir.

ForbesNouvel avertissement d’attaque par e-mail : 5 éléments à surveillerPar Davey Winder

La vulnérabilité de contournement Microsoft 2FA expliquée

UN nouveau rapport d’Oasis Security est entré dans les détails techniques de la façon dont les chercheurs ont pu impliquer une vulnérabilité critique de contournement de l’authentification à deux facteurs qui a potentiellement eu un impact sur les comptes Microsoft donnant accès aux e-mails Outlook, aux fichiers OneDrive, aux discussions Teams et au Cloud Azure. « Microsoft possède plus de 400 millions de postes Office 365 payants », préviennent les chercheurs, « ce qui rend les conséquences de cette vulnérabilité considérables ».

Certes, l’exploit a une portée considérable, mais l’exploit lui-même était d’une simplicité choquante : il a contourné une limite de taux d’échec de code de 10 tentatives pour permettre à un attaquant d’exécuter un grand nombre de tentatives simultanément, permettant ainsi aux chercheurs d’épuiser rapidement le nombre total d’options pour un Code d’authentification à deux facteurs à 6 chiffres.

ForbesNouvelle attaque de sécurité Windows Drive-By : ce que vous devez savoirPar Davey Winder

« La limite de 10 échecs consécutifs n’a été appliquée qu’à l’objet de session temporaire », ont expliqué les chercheurs, « qui peut être régénéré en répétant le processus décrit, avec une limite de débit insuffisante. » Ce qui a aggravé les choses, bien pire en fait, c’est que pendant ce processus d’attaque, le titulaire du compte n’a pas été informé des tentatives infructueuses par courrier électronique ou autre mécanisme d’alerte, de sorte que l’attaquant a pu rester sous le radar et continuer à loisir.

ForbesNouvelles attaques Windows 0Day : Microsoft avertit des millions de personnes de mettre à jour maintenantPar Davey Winder

Microsoft répond au rapport sur la vulnérabilité du contournement 2FA

J’ai contacté Microsoft pour obtenir une déclaration et un porte-parole m’a dit : « Nous apprécions le partenariat avec Oasis Security pour divulguer ce problème de manière responsable. Nous avons déjà publié une mise à jour et aucune action du client n’est requise. »

Oasis a signalé la faille à Microsoft, qui a confirmé la vulnérabilité le 24 juin et déployé un correctif permanent le 9 octobre. Les chercheurs d’Oasis ont déclaré que tous les détails du correctif restaient confidentiels, mais ont confirmé qu’une limite plus stricte de taux d’échec 2FA avait été introduite.

Lors d’une conversation plus approfondie avec Microsoft, et pour ajouter du contexte à la vulnérabilité signalée et à la méthodologie d’exploitation, on m’a dit que Microsoft avait mis en place une surveillance de la sécurité pour détecter précisément ce type d’abus de contournement 2FA. Le porte-parole de Microsoft a déclaré que la société n’avait « vu aucune preuve que cette technique ait été utilisée contre nos clients ».

ForbesGoogle ajoute une nouvelle fonctionnalité de sécurité Android brillante pour 3 milliards d’utilisateursPar Davey Winder

Méthodes d’atténuation des attaques de contournement 2FA

Ce type d’exploit ne se limite pas à Microsoft, les attaques de contournement 2FA étant loin d’être rares sur la plupart des plateformes populaires. Vous pouvez en savoir plus à leur sujet ici, ici et ici. Cependant, la plupart des attaques de contournement 2FA n’utilisent pas cette approche directe consistant à tenter d’éviter les limiteurs de taux de défaillance ; une vulnérabilité spécifique devrait être identifiée, comme dans ce cas, pour que cela se produise. Au lieu de cela, nous avons tendance à voir des kits d’exploitation tels que Rockstar 2FA en action. Ce kit de phishing en tant que service, qui cible les utilisateurs de Microsoft et de Google, est disponible à la location pour seulement quelques centaines de dollars par semaine.

Le facteur commun à la plupart des attaques est de rediriger la cible en utilisant des tactiques de phishing pour la diriger vers un site d’apparence légitime où il lui sera demandé de se connecter. Lorsque l’utilisateur saisit son code 2FA, l’attaquant intercepte et stocke le cookie de session. Cela marque la session utilisateur comme étant entièrement autorisée et, une fois en possession d’un attaquant, lui permet de réexécuter cette session en tant qu’utilisateur authentifié. Vous pouvez lire ici un article fascinant explorant les méthodes permettant d’atténuer de telles attaques de phishing.