Lücke in Microsofts Multifaktor-Authentifizierung

13. Dezember 2024 um 12:56
image
Foto: Ed Hardie / Unsplash

Potenziell 400 Millionen Microsoft-Konten sind gefährdet durch eine Sicherheitslücke in der Multifaktor-Authentifizierung, berichten Forscher. Microsoft hat bereits ein Update eingespielt.

Der Zugriff auf Benutzerkonten ist bei Microsoft 365 durch Multifaktor-Authentifizierung gesichert. Jedoch sind nicht alle Methoden sicher, erklären die Spezialisten von Oasis Security in einem Blogpost.
Die Forscher haben eine Möglichkeit gefunden, wie nach der Eingabe von E-Mail und Passwort die typischerweise per Authenticator-App generierte sechsstellige Zahlenkombination "erraten" werden kann. Dafür starteten sie einen Angriff auf die Eingabemaske, die bis zu zehn falsche Kombinationen akzeptiert, bevor der legitime Nutzer benachrichtigt wird. Wenn die Eingabemaske in parallelen Sessions geöffnet wird, können per Skript tausende Zahlenreihen durchprobiert werden, so Oasis Security. Damit steige die Wahrscheinlichkeit, dass die korrekte Kombination "erraten" wird.
Die Zahlenkombinationen besitzen bei Microsoft eine "Haltbarkeit" von angeblich 30 Sekunden. Oasis Security ermittelte, dass die Kombinationen danach nicht sofort ungültig werden, sondern eine Toleranz von drei Minuten haben. Damit hatten sie noch länger Zeit für den Angriff auf die Authentifizierungsmethode.
Die Sicherheitsforscher hatten Microsoft nach ihren Tests über die Schwachstelle informiert. Der Hersteller hat inzwischen reagiert und ein Update eingespielt, mit dem die Toleranz der Zahleneingabe verringert wird. Auch soll die Haltbarkeit der Zifferncodes verkürzt worden sein, so Oasis Security. Dennoch raten die Forscher zur Wahl einer alternativen Methode der Multifaktor-Authentifizierung, beispielsweise mit biometrischen Merkmalen. Auch das häufige Wechseln des Passworts würde zur erhöhten Sicherheit beitragen, heisst es weiter.

Loading

Mehr zum Thema

image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

Wavestone baut Schweizer Partnerteam aus

Mit neuen Partner- und Associate-Partner-Ernennungen setzt das Unternehmen auf Wachstum in den Bereichen Transformation, Cyber Security und Life Sciences.

publiziert am 10.6.2026
image

Servicenow meldet Sicherheitsproblem

Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.

publiziert am 10.6.2026