AuthQauke: Un bug en Microsoft MFA que permitía Brute Force de tus TOTP para entrar en tu cuenta de Microsoft

Esta semana se ha publicado la investigación de Oasis Security Research Team sobre el bug y la explotación de AuthQuake, un bug que contenía Microsoft MFA (Multi-Factor Authentication) que permitía explotar el 2FA (Second Factor Authentication) de tus cuentas de Microsoft Office mediante un ataque de fuerza bruta a los valores del TOTP (Time One-Time Passwords) asociados.

Figura 1: AuthQauke: Un bug en Microsoft MFA que permitía Brute Force

de tus TOTP para entrar en tu cuenta de Microsoft

Para que entendáis lo que han hecho, hay que saber cómo funciona la cuenta de Microsoft Office con MFA utilizando TOTP como método de autenticación, echar unos cálculos y ser muy rápidos. El funcionamiento es el siguiente.

Figura 2: Microsoft MFA para TOTP

Primero se pide una sesión a Microsoft Office que se autentica con usuario y contraseña, y Microsoft genera un ID de Sesión sobre el que se pueden hacer 10 intentos de TOTP. Es decir, que por cada autenticación se pueden hacer 10 intentos. 

Pero si no se valida el TOTP en esos 10 intentos, simplemente se cierra el ID de Sesión y hay que volver a autenticar el usuario y la contraseña, pero no se bloquea la cuenta, ya que no queda como intentos de contraseña errónea, sino como que no se ha validado el 2FA.

Figura 3: Tiempo de validez de un TOTP según el RFC 6238

Teniendo en cuenta que los valores de un TOTP deberían valer 30 segundos, pero según el estándar TOTP éste puede ir hasta los 10 minutos, nos podríamos encontrar con un entorno en el que la seguridad se degrada. 

En la práctica, la validez de un TOTP normalmente suele estar entre 1 y 3 minutos, y en el caso de Microsoft, los investigadores descubrieron que el valor que tiene configurado el proceso de login es de 3 minutos, lo que permite muchos intentos.

Figura 4: Microsoft MFA TOTP dura 3 minutos

Teniendo en cuenta que son 6 dígitos, hay que conseguir 1 Millón de intentos para cubrir un ataque de fuerza bruta, pero la estadística está de parte del atacante, ya que en media, el 50% de las veces tendrá éxito con solo la mitad de los intentos, y así sucesivamente.

Figura 5: Código TOTP (6 dígitos) de Microsoft MFA visto en Latch.

El bug en sí existía porque la cuenta no se bloqueaba a pesar del número de intentos de validación del TOTP que se haga porque el bloqueo lo tienen en el número de intentos de la contraseña y no en el de la validación del TOTP, lo que hace que una vez que se tenga la contraseña el 2FA de TOTP de Microsoft fuera poco útil.

AuthQuake Attack

El atacante podría atacar un TOTP y buscar si la estadística estaba a su favor durante esos tres minutos, generando nuevas autenticaciones correctas sin validación de 2FA, y ver si lo consigue o no. Pero si no lo consigue, no pasa nada, a los 3 minutos hacemos otro ataque al TOTP a ver si ahora la estadística está de nuestra parte y en 5 horas se tiene aproximadamente el 98% de probabilidades de saltar el 2FA.

Figura 6: Probabilidad de éxito a lo largo del tiempo

Ahora está resulto, pero es un aprendizaje sobre cómo se debe establecer un sistema de identidad, con autenticadores seguro para que no haya un ataque como éste que pueda anularlo por no haber hecho los deberes. Aquí la demo del ataque.

Figura 7: AuthQuake Attack con un script en Python

Al final, con ene intentos contra un TOTP cada tres minutos, es posible saltar el 2FA, porque como han explicado los investigadores:

• No había restricción de intentos de validación de TOTP

• El usuario nunca recibía una alerta de inicio de sesión o intento fallido de TOTP

Esto es algo que nos llevó a crear Tu Latch, ya que en este escenario el atacante tiene las credenciales pero nunca se entera el usuario de que se las han robado, mientras que con un Control de Latch, en el primer intento el usuario recibiría una alerta que le indicaría que alguien ha intentado iniciar sesión con su contraseña.

Figura 8: Yaiza Rubio y Chema Alonso presentando Tu Latch

En el vídeo anterior, estamos Yaiza Rubio y yo presentando cómo se puede utilizar Tu Latch para Control de Authorizaciones, tanto en el proceso de Login como 2FA, como con capa de Control de Autorizaciones para, una vez perdido el User/Password y 2FA aún se pueda tener protegida la cuenta del servicio digital con Tu Latch.

Figura 9: Contacta con nosotros para asistir al evento

Si quieres conocer más de Latch o cómo configurar un sistema de Identidades utilizando una capa de control de autorizaciones con Tu Latch y con OpenGateway para reducir el impacto de estos bugs al máximo posible, contacta con nosotros. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)