Der Zugriff auf Benutzerkonten ist bei Microsoft 365 durch Multifaktor-Authentifizierung gesichert. Jedoch sind nicht alle Methoden sicher, erklären die Spezialisten von Oasis Security in einem Blogpost.

Die Forscher haben eine Möglichkeit gefunden, wie nach der Eingabe von E-Mail und Passwort die typischerweise per Authenticator-App generierte sechsstellige Zahlenkombination "erraten" werden kann. Dafür starteten sie einen Angriff auf die Eingabemaske, die bis zu zehn falsche Kombinationen akzeptiert, bevor der legitime Nutzer benachrichtigt wird. Wenn die Eingabemaske in parallelen Sessions geöffnet wird, können per Skript tausende Zahlenreihen durchprobiert werden, so Oasis Security. Damit steige die Wahrscheinlichkeit, dass die korrekte Kombination "erraten" wird.

Die Zahlenkombinationen besitzen bei Microsoft eine "Haltbarkeit" von angeblich 30 Sekunden. Oasis Security ermittelte, dass die Kombinationen danach nicht sofort ungültig werden, sondern eine Toleranz von drei Minuten haben. Damit hatten sie noch länger Zeit für den Angriff auf die Authentifizierungsmethode.

Die Sicherheitsforscher hatten Microsoft nach ihren Tests über die Schwachstelle informiert. Der Hersteller hat inzwischen reagiert und ein Update eingespielt, mit dem die Toleranz der Zahleneingabe verringert wird. Auch soll die Haltbarkeit der Zifferncodes verkürzt worden sein, so Oasis Security. Dennoch raten die Forscher zur Wahl einer alternativen Methode der Multifaktor-Authentifizierung, beispielsweise mit biometrischen Merkmalen. Auch das häufige Wechseln des Passworts würde zur erhöhten Sicherheit beitragen, heisst es weiter.