近期，知名安全企業(yè)Oasis公布了一項(xiàng)關(guān)于微軟MFA多重驗(yàn)證系統(tǒng)安全性的重大發(fā)現(xiàn)。據(jù)其發(fā)布的報(bào)告揭示，該系統(tǒng)存在一個(gè)被命名為AuthQuake的嚴(yán)重漏洞，此漏洞能夠讓黑客通過(guò)暴力破解動(dòng)態(tài)驗(yàn)證碼的方式，輕松繞過(guò)安全驗(yàn)證流程，進(jìn)而控制用戶的賬戶。

在常規(guī)操作下，用戶登錄微軟賬號(hào)時(shí)，需要在PC網(wǎng)頁(yè)端通過(guò)預(yù)先綁定的驗(yàn)證器App接收一個(gè)6位數(shù)的動(dòng)態(tài)驗(yàn)證碼，并在規(guī)定時(shí)間內(nèi)輸入以完成身份驗(yàn)證。為了保障安全，如果用戶連續(xù)多次輸入錯(cuò)誤驗(yàn)證碼，系統(tǒng)會(huì)暫時(shí)鎖定登錄功能。然而，Oasis的研究人員指出，微軟的這套驗(yàn)證機(jī)制存在一個(gè)關(guān)鍵缺陷：它未能對(duì)驗(yàn)證請(qǐng)求的頻率進(jìn)行有效限制。

具體而言，黑客可以利用高性能計(jì)算機(jī)在短時(shí)間內(nèi)迅速創(chuàng)建大量新的會(huì)話（Session），并嘗試所有可能的6位數(shù)驗(yàn)證碼組合（總計(jì)100萬(wàn)種）。通過(guò)這種暴力破解的方式，黑客可以在短時(shí)間內(nèi)成功繞過(guò)MFA驗(yàn)證機(jī)制，接管用戶的賬戶，且整個(gè)過(guò)程可能不會(huì)對(duì)受害者發(fā)出任何警示。

Oasis的研究人員不僅發(fā)現(xiàn)了這一漏洞，還成功利用它繞過(guò)了MFA驗(yàn)證流程，整個(gè)測(cè)試過(guò)程僅耗時(shí)約一小時(shí)。值得慶幸的是，Oasis在發(fā)現(xiàn)這一問(wèn)題的第一時(shí)間，即今年6月下旬，就向微軟進(jìn)行了通報(bào)。在雙方的緊密合作下，微軟分別在7月和10月對(duì)漏洞進(jìn)行了修復(fù)和緩解措施，從而有效避免了潛在的大規(guī)模安全事件。