微软 MFA 多重验证曝 AuthQuake 重大漏洞，黑客可暴力穷举破解动态码登录系统

据安全公司Oasis披露，微软MFA多重验证系统中存在一处名为AuthQuake的严重漏洞。黑客可以利用该漏洞绕过验证程序，进而非法访问用户账户。该安全漏洞一旦被利用，可能会导致严重后果。

据IT之家了解，该漏洞主要涉及微软多重认证系统中的账号验证器动态码功能。通常情况下，用户在PC端登录微软账户时，需要通过手机上安装的验证器App生成6位动态验证码(OTP)，并在规定时间内输入以完成认证。连续输入错误超过10次时，系统会暂时禁止用户登录。

然而，研究人员发现这一认证机制未对验证频率进行限制。这意味着黑客可以利用大型计算机，通过快速生成新会话，在短时间内尝试所有可能的验证密码组合(总共100万种)，从而成功绕过认证，接管用户账户。

研究人员表示，已成功利用漏洞绕过MFA多重验证流程，整个测试过程持续约一小时，而系统并未向受害者发出任何警告。Oasis在6月下旬向微软报告了该问题，随后微软分别在7月和10月对漏洞进行了修复和缓解。

根据研究人员的说法，微软账号系统出现此问题的原因是其在设计验证手机App验证码时考虑到动态密码每30秒刷新一次，而实际上认证系统存在延迟，导致验证码的有效时长最长可达3分钟。这一设计为黑客提供了暴力破解的机会。

广告声明：文中包含的外部链接仅供参考，点击链接后请谨慎操作。