Microsoft impõe número de correspondência para lutar contra ataques de fadiga de MFA

Microsoft está implementando um novo processo de verificação de dois fatores para impedir ataques ‘de fadiga MFA’. O processo exigirá que o número de telefone utilizado para a verificação seja o mesmo número que o Microsoft Authenticator está usando.

A Microsoft está implementando um novo recurso no seu aplicativo de autenticação do Azure Multi-Factor que exige que o número gerado para verificação seja semelhante a um número pré-existente na lista de números de telefone do usuário.

Isso significa que, se um hacker tentar adivinhar o código de verificação MFA gerado para um usuário, eles só terão sucesso se o número que eles adivinharem estiver na lista de números de telefone do usuário.

Essa mudança é uma resposta às “fatiga de MFA” de ataques, onde um hacker tenta adivinhar vários códigos de verificação MFA para vários usuários até que eles finalmente adivinhem um código correto e tenham acesso à conta do usuário.

A Microsoft afirma que esse tipo de ataque está se tornando cada vez mais comum, e acredita que a implementação desse novo recurso ajudará a mitigar esse tipo de ataque.

O novo recurso estará ativo para todos os usuários do Azure MFA a partir de hoje.

Fonte: www.bleepingcomputer.com