IT之家12月15日消息，安全公司Oasis发现微软MFA多重验证系统中存在一项AuthQuake重大漏洞。允许黑客通过穷举暴力破解验证码绕过验证流程从而访问用户账户，安全公司称，这一漏洞如果遭黑客利用，可能带来广泛影响。

IT之家参考报告获悉，这一漏洞主要涉及微软多重认证的账号验证器动态码系统，在正常情况下，如果用户要在PC网页端登录微软账号，需要通过手机上绑定了微软账号的验证器App生成6位动态验证码（OTP），在时效内输入以完成认证。如果用户连续输入错误超过10次，系统将暂时禁止用户登录。

然而研究人员发现，这一认证机制实际缺乏对验证频率的限制，也就是黑客如果使用大型计算机，直接在账号系统验证手机App上动态验证码的这一小段时间中通过快速生成新会话（Session），在短时间内穷举尝试所有可能的验证密码排列组合（共计100万种），即可成功暴力破解认证机制，接管用户账号。

研究人员表示，他们已利用该漏洞成功绕过MFA多重验证流程，整项测试过程大约持续一小时，同时系统也未向受害者发出任何警告。Oasis已于今年6月下旬向微软通报了这一问题。在双方合作下，微软分别于7月和10月对漏洞进行了修复和缓解。

研究人员提到，微软账号系统出现如此问题的原因是该公司在设计验证手机App验证码时考虑到相关动态密码每30秒就会刷新一次，而认证系统与用户访问时间实际存在延迟，因此延长了验证码的有效时长，最长可达3分钟。这一设计给黑客提供了暴力破解机会。