Kwetsbaarheid Microsoft Authenticator

In Microsoft Authenticator kunnen aanvallers een kritieke kwetsbaarheid misbruiken om aanmeldtokens te verkrijgen, waardoor ze ongeautoriseerde toegang tot bronnen kunnen krijgen. Er zijn inmiddels bijgewerkte apps beschikbaar. 

Volgens Microsofts kwetsbaarheidsmelding kan gevoelige informatie in handen vallen van onbevoegden doordat Authenticator informatie blootstelt via het netwerk. In de FAQ legt Microsoft uit dat de fout het mogelijk maakt dat het aanmeldtoken van zakelijke accounts wordt onthuld. Hierdoor kunnen onbevoegden toegang krijgen tot gegevens en diensten waartoe het account normaal toegang heeft, mogelijk inclusief gevoelige bedrijfsinformatie. 

Om de fout te misbruiken, moeten aanvallers een slachtoffer verleiden om te reageren op een legitiem ogend, maar kwaadaardig verzoek. Zodra de gebruiker dit bevestigt, kan de aanvaller de app misleiden om toegangstokens aan te vragen namens de gebruiker.

Microsoft Authenticator: Updates beschikbaar 

Bijgewerkte versies van Microsoft Authenticator staan in de appstores. 

• Android: versie 6.2605.2973 en nieuwer 
• iOS: versie 6.8.47 en nieuwer 

Gebruikers met automatische updates krijgen de nieuwe versie vanzelf. Wie dit heeft uitgeschakeld, moet handmatig updaten via de Google Play Store of Apple App Store. 

Microsoft meldt dat de kwetsbaarheid nog niet actief wordt misbruikt en dat er geen publieke exploit beschikbaar is. Toch wordt gebruikers aangeraden te controleren of ze de nieuwste versie gebruiken. De versie is te vinden in het appmenu onder Help → Over → Applicatieversie. 

Hoe werkt deze aanval? 

De fout in Microsoft Authenticator kan misbruikt worden met een nepverzoek dat echt lijkt. De gebruiker moet dit verzoek zelf goedkeuren. 

1. De aanvaller stuurt een nep inlogverzoek 
   Dit verzoek lijkt op een normale melding van Microsoft Authenticator. Daardoor denkt de gebruiker dat het veilig is en klikt op goedkeuren. 
2. De app vraagt een toegangstoken aan 
   Door de beveiligingsfout behandelt Authenticator dit verzoek alsof het betrouwbaar is. 
3. Het token komt bij de aanvaller terecht
   In plaats van bij Microsoft of jouw organisatie, wordt het token verstuurd naar een server van de aanvaller. 
4. De aanvaller kan inloggen als de gebruiker 
   Met dat token kan iemand toegang krijgen tot e-mail, Teams, SharePoint en andere systemen waar het account rechten op heeft. 
5. De gebruiker ziet niet duidelijk wat er is goedgekeurd
   Volgens Microsoft laat Authenticator niet goed zien welke toegang precies wordt gegeven. Daardoor is de kans groter dat iemand ongemerkt toestemming geeft. 
    

Daarom is het belangrijk om alleen meldingen goed te keuren die je zelf verwacht én te controleren of de app up-to-date is.