Oasis Security 的研究团队公布了微软 Azure 的多因素身份验证（MFA）系统中的一个关键漏洞，它使数百万用户面临潜在的漏洞攻击。这种绕过技术允许攻击者未经授权访问敏感账户，包括 Outlook 电子邮件、OneDrive 文件、Teams 聊天和 Azure 云服务，而无需用户交互或通知。

该漏洞利用了基于时间的一次性密码（TOTP）实施中的弱点，这是大多数验证器应用程序使用的标准。据 Oasis 称，攻击者可以利用以下关键问题绕过 MFA：

• 缺乏速率限制： 报告指出：“通过快速创建新会话和枚举代码，Oasis 研究团队展示了非常高的尝试率，这将很快耗尽 6 位代码的选项总数。”由于缺乏适当的节流措施，攻击者可以同时执行多次尝试。
• 延长代码有效期： 虽然 TOTP 代码的有效期通常为 30 秒，但微软的系统允许约三分钟的容许窗口，为暴力尝试提供了六倍于通常的时间框架。这个延长的窗口大大增加了猜测有效代码的机会。

攻击方法简单而隐蔽，令人震惊。Oasis Security 公司报告说：“旁路非常简单，执行时间约为一小时，不需要用户交互，也不会产生任何通知或向账户持有人提供任何麻烦迹象。”

在大约 70 分钟内，攻击者有 50% 的机会成功猜出代码。这一时间框架加上攻击的无声性，使许多组织容易遭受未被发现的漏洞攻击。

发现漏洞后，Oasis Security 与微软合作解决了这一问题。虽然具体的技术细节仍然保密，但该公司引入了更严格的速率限制措施。据该报告称，“微软引入了更为严格的速率限制，在尝试失败若干次后就会生效；严格的限制持续时间约为半天”。