微软 MFA 多重验证曝 AuthQuake 重大漏洞，黑客可暴力穷举破解动态码登录系统

最新 12 月 15 日消息，安全公司 Oasis 发现微软 MFA 多重验证系统中存在一项 AuthQuake 重大漏洞。允许黑客通过穷举暴力破解验证码绕过验证流程从而访问用户账户，安全公司称，这一漏洞如果遭黑客利用，可能带来广泛影响。

最新参考报告获悉，这一漏洞主要涉及微软多重认证的账号验证器动态码系统，在正常情况下，如果用户要在 PC 网页端登录微软账号，需要通过手机上绑定了微软账号的验证器 App 生成 6 位动态验证码（OTP），在时效内输入以完成认证。如果用户连续输入错误超过 10 次，系统将暂时禁止用户登录。

然而研究人员发现，这一认证机制实际缺乏对验证频率的限制，也就是黑客如果使用大型计算机，直接在账号系统验证手机 App 上动态验证码的这一小段时间中通过快速生成新会话（Session），在短时间内穷举尝试所有可能的验证密码排列组合（共计 100 万种），即可成功暴力破解认证机制，接管用户账号。

研究人员表示，他们已利用该漏洞成功绕过 MFA 多重验证流程，整项测试过程大约持续一小时，同时系统也未向受害者发出任何警告。Oasis 已于今年 6 月下旬向微软通报了这一问题。在双方合作下，微软分别于 7 月和 10 月对漏洞进行了修复和缓解。

研究人员提到，微软账号系统出现如此问题的原因是该公司在设计验证手机 App 验证码时考虑到相关动态密码每 30 秒就会刷新一次，而认证系统与用户访问时间实际存在延迟，因此延长了验证码的有效时长，最长可达 3 分钟。这一设计给黑客提供了暴力破解机会。