Bug MFA yang Terdapat di Microsoft 365

Baru-baru ini ditemukan sebuah celah keamanan yang sangat fatal di bagian kredensial saat akan login ke layanan cloud, Microsoft 365.

Peretas dapat memalsukan alamat IP untuk melewati Multi-factor Authentication (MFA) melalui manipulasi header-request sederhana, dan menyebabkan sistem salah mengidentifikasi protokol.

Teknik melewati otentikasi ini bisa dilakukan dengan memasukkan OTP yang salah di bagian verifikasi OTP dan memodifikasi permintaan tersebut.

Masalah utamanya terdapat pada WS-Trust, yaitu protokolnya yang tidak aman dan Identity Provider Microsoft (IDP) yang memiliki dengan banyak bug.

Dengan memanfaatkan celah keamanan pada login Microsoft 365, peretas dapat memperoleh akses ke email, file, kontak, dan data lainnya dari korban.

Dan lebih parahnya lagi, celah ini juga dapat digunakan untuk mengakses berbagai layanan cloud lain milik Microsoft, seperti Azure dan Visual Studio.

Celah keamanan yang diidentifikasi oleh Proofpoint dapat mengeksploitasi data user yang menggunakan MFA di Office 365. Pada bulan Mei 2020 silam, terjadi sebuah peretasan melewati MFA di layanan kolaborasi cloud untuk mengakses data target yang disimpan. Taktik tersebut memanfaatkan kerangka kerja OAuth2 dan protokol OpenID Connect (OIDC) dan menggunakan link SharePoint berbahaya untuk mengelabui pengguna agar memberikan izin ke aplikasi yang berisi malware.

Apa itu Multi-factor Authentication?

MFA adalah pengembangan dari 2FA untuk menambahkan lapisan keamanan ekstra ke akun Anda dengan cara meminta sebuah kode verifikasi setiap kali Anda login menggunakan alamat email dan sandi.

Bedanya MFA mengharuskan adanya beberapa verifikasi yang dilakukan oleh user sebelum dapat login, contohnya SMS + Sidik Jari. Sedangkan 2FA hanya membutuhkan satu kode verifikasi saja.

Kode verifikasi untuk MFA ini dibuat secara acak dan diberikan melalui aplikas atau SMS. Dengan sistem ini, peretas pun akan kesulitan untuk mengakses akun Anda karena mereka akan membutuhkan alamat email, kata sandi, serta smartphone Anda dalam waktu yang bersamaan.

Umumnya ada dua metode yang digunakan untuk mengirimkan kode verifikasi ini ke smartphone Anda:

a. Menggunakan pesan teks

Metode ini tidak memerlukan akses internet, cukup menggunakan GSM untuk mengirimkan SMS yang berlaku untuk satu kali saja.


b. Menggunakan aplikasi (Authy, Google Authenticator)

Kode verifikasi akan dikirim dengan mengintegrasikan aplikasi atau software pihak ketiga seperti authy atau google authenticator. Aplikasi ini akan memberikan kode yang selalu diacak setiap 60 detik.

Featured image by Pixaline from Pixabay.