微軟MFA驗證系統現AuthQuake漏洞，黑客可暴力破解賬號？

近期，知名安全企業Oasis公布了一項關于微軟MFA多重驗證系統安全性的重大發現。據其發布的報告揭示，該系統存在一個被命名為AuthQuake的嚴重漏洞，此漏洞能夠讓黑客通過暴力破解動態驗證碼的方式，輕松繞過安全驗證流程，進而控制用戶的賬戶。

在常規操作下，用戶登錄微軟賬號時，需要在PC網頁端通過預先綁定的驗證器App接收一個6位數的動態驗證碼，并在規定時間內輸入以完成身份驗證。為了保障安全，如果用戶連續多次輸入錯誤驗證碼，系統會暫時鎖定登錄功能。然而，Oasis的研究人員指出，微軟的這套驗證機制存在一個關鍵缺陷：它未能對驗證請求的頻率進行有效限制。

具體而言，黑客可以利用高性能計算機在短時間內迅速創建大量新的會話（Session），并嘗試所有可能的6位數驗證碼組合（總計100萬種）。通過這種暴力破解的方式，黑客可以在短時間內成功繞過MFA驗證機制，接管用戶的賬戶，且整個過程可能不會對受害者發出任何警示。

Oasis的研究人員不僅發現了這一漏洞，還成功利用它繞過了MFA驗證流程，整個測試過程僅耗時約一小時。值得慶幸的是，Oasis在發現這一問題的第一時間，即今年6月下旬，就向微軟進行了通報。在雙方的緊密合作下，微軟分別在7月和10月對漏洞進行了修復和緩解措施，從而有效避免了潛在的大規模安全事件。