近期，知名安全企業(yè)Oasis公布了一項關(guān)于微軟MFA多重驗證系統(tǒng)安全性的重大發(fā)現(xiàn)。據(jù)其發(fā)布的報告揭示，該系統(tǒng)存在一個被命名為AuthQuake的嚴(yán)重漏洞，此漏洞能夠讓黑客通過暴力破解動態(tài)驗證碼的方式，輕松繞過安全驗證流程，進而控制用戶的賬戶。

在常規(guī)操作下，用戶登錄微軟賬號時，需要在PC網(wǎng)頁端通過預(yù)先綁定的驗證器App接收一個6位數(shù)的動態(tài)驗證碼，并在規(guī)定時間內(nèi)輸入以完成身份驗證。為了保障安全，如果用戶連續(xù)多次輸入錯誤驗證碼，系統(tǒng)會暫時鎖定登錄功能。然而，Oasis的研究人員指出，微軟的這套驗證機制存在一個關(guān)鍵缺陷：它未能對驗證請求的頻率進行有效限制。

具體而言，黑客可以利用高性能計算機在短時間內(nèi)迅速創(chuàng)建大量新的會話（Session），并嘗試所有可能的6位數(shù)驗證碼組合（總計100萬種）。通過這種暴力破解的方式，黑客可以在短時間內(nèi)成功繞過MFA驗證機制，接管用戶的賬戶，且整個過程可能不會對受害者發(fā)出任何警示。

Oasis的研究人員不僅發(fā)現(xiàn)了這一漏洞，還成功利用它繞過了MFA驗證流程，整個測試過程僅耗時約一小時。值得慶幸的是，Oasis在發(fā)現(xiàn)這一問題的第一時間，即今年6月下旬，就向微軟進行了通報。在雙方的緊密合作下，微軟分別在7月和10月對漏洞進行了修復(fù)和緩解措施，從而有效避免了潛在的大規(guī)模安全事件。