微軟MFA現(xiàn)AuthQuake漏洞，黑客一小時(shí)可暴力破解多重驗(yàn)證

近期，安全領(lǐng)域的知名公司Oasis揭露了微軟MFA多重驗(yàn)證系統(tǒng)中存在一個(gè)名為AuthQuake的重大安全漏洞。該漏洞使得黑客有機(jī)會(huì)通過暴力破解的方式，繞過正常的驗(yàn)證流程，進(jìn)而獲取用戶的賬戶控制權(quán)。據(jù)Oasis稱，這一發(fā)現(xiàn)若被惡意勢力利用，可能引發(fā)廣泛的安全危機(jī)。

具體而言，該漏洞涉及微軟賬號(hào)的多重認(rèn)證機(jī)制，尤其是賬號(hào)驗(yàn)證器動(dòng)態(tài)碼系統(tǒng)。通常，當(dāng)用戶嘗試在PC網(wǎng)頁端登錄微軟賬號(hào)時(shí)，需通過手機(jī)上的微軟賬號(hào)驗(yàn)證器App生成一個(gè)6位數(shù)的動(dòng)態(tài)驗(yàn)證碼（OTP）。用戶必須在驗(yàn)證碼的有效期內(nèi)輸入，才能完成登錄認(rèn)證。若用戶連續(xù)多次輸入錯(cuò)誤驗(yàn)證碼，系統(tǒng)會(huì)暫時(shí)鎖定賬戶，以防止?jié)撛诘膼阂鈬L試。然而，在連續(xù)錯(cuò)誤達(dá)到10次后，系統(tǒng)的鎖定機(jī)制本應(yīng)啟動(dòng)，卻并未能有效阻止一種特定的攻擊方式。

Oasis的研究人員發(fā)現(xiàn)，微軟的驗(yàn)證機(jī)制在驗(yàn)證頻率上存在缺陷。黑客若利用高性能計(jì)算機(jī)，可以在極短的時(shí)間內(nèi)快速生成大量新的會(huì)話（Session），并嘗試所有可能的6位數(shù)驗(yàn)證碼組合（總計(jì)100萬種）。通過這種暴力破解的方法，黑客可以在驗(yàn)證碼失效前成功繞過驗(yàn)證機(jī)制，進(jìn)而控制用戶的賬戶。值得注意的是，整個(gè)攻擊過程可以在大約一小時(shí)內(nèi)完成，而且系統(tǒng)并不會(huì)向受害者發(fā)出任何警告或通知。

Oasis在發(fā)現(xiàn)這一漏洞后，迅速與微軟進(jìn)行了溝通。今年6月下旬，Oasis向微軟通報(bào)了漏洞詳情。在雙方的緊密合作下，微軟于7月和10月分別對(duì)該漏洞進(jìn)行了修復(fù)和緩解措施，以確保用戶賬戶的安全。

此次事件再次提醒了網(wǎng)絡(luò)安全的重要性，以及企業(yè)和用戶需要時(shí)刻保持警惕，及時(shí)應(yīng)對(duì)可能出現(xiàn)的安全威脅。Oasis的及時(shí)發(fā)現(xiàn)和微軟的迅速響應(yīng)，共同避免了這一漏洞可能帶來的更大損失。然而，對(duì)于廣大用戶而言，增強(qiáng)賬戶安全意識(shí)，使用復(fù)雜且不易被猜測的驗(yàn)證碼，仍然是保護(hù)個(gè)人信息安全的重要措施。