近期,安全领域的知名公司Oasis揭露了微软MFA多重验证系统中存在一个名为AuthQuake的重大安全漏洞。该漏洞使得黑客有机会通过暴力破解的方式,绕过正常的验证流程,进而获取用户的账户控制权。据Oasis称,这一发现若被恶意势力利用,可能引发广泛的安全危机。
具体而言,该漏洞涉及微软账号的多重认证机制,尤其是账号验证器动态码系统。通常,当用户尝试在PC网页端登录微软账号时,需通过手机上的微软账号验证器App生成一个6位数的动态验证码(OTP)。用户必须在验证码的有效期内输入,才能完成登录认证。若用户连续多次输入错误验证码,系统会暂时锁定账户,以防止潜在的恶意尝试。然而,在连续错误达到10次后,系统的锁定机制本应启动,却并未能有效阻止一种特定的攻击方式。
Oasis的研究人员发现,微软的验证机制在验证频率上存在缺陷。黑客若利用高性能计算机,可以在极短的时间内快速生成大量新的会话(Session),并尝试所有可能的6位数验证码组合(总计100万种)。通过这种暴力破解的方法,黑客可以在验证码失效前成功绕过验证机制,进而控制用户的账户。值得注意的是,整个攻击过程可以在大约一小时内完成,而且系统并不会向受害者发出任何警告或通知。
Oasis在发现这一漏洞后,迅速与微软进行了沟通。今年6月下旬,Oasis向微软通报了漏洞详情。在双方的紧密合作下,微软于7月和10月分别对该漏洞进行了修复和缓解措施,以确保用户账户的安全。
此次事件再次提醒了网络安全的重要性,以及企业和用户需要时刻保持警惕,及时应对可能出现的安全威胁。Oasis的及时发现和微软的迅速响应,共同避免了这一漏洞可能带来的更大损失。然而,对于广大用户而言,增强账户安全意识,使用复杂且不易被猜测的验证码,仍然是保护个人信息安全的重要措施。
