新的 Azure AD 漏洞让黑客在不被发现的情况下暴力破解密码

网络安全研究人员披露,微软Azure Active Directory使用的协议存在一个未修补的安全漏洞,潜在的对手可能会滥用该漏洞,发动未被发现的暴力破解攻击。

Secureworks反威胁小组(CTU)的研究人员在发表的一份报告中称:“这个漏洞允许威胁参与者对Azure Active Directory (Azure AD)执行单因素暴力攻击,而无需在目标组织的租户中生成登录事件。”

Azure Active Directory是微软基于企业云的身份和访问管理(IAM)解决方案,专为单点登录(SSO)和多因素认证而设计。它也是Microsoft 365(以前的Office 365)的核心组件,具有通过OAuth向其他应用程序提供身份验证的功能。

缺点在于无缝单点登录(Seamless Single sign - on)功能,该功能允许员工在使用连接到企业网络的公司设备时自动登录,无需输入任何密码。无缝SSO也是一种“机会主义特性”,因为如果进程失败,登录会退回到默认行为,即用户需要在登录页面上输入密码。

图片3.png

为了实现这一点,该机制依赖于Kerberos协议在Azure AD中查找相应的用户对象,并发出票据授予票据(TGT),允许用户访问相关资源。但是对于Exchange Online的用户,使用的Office客户端比Office 2013年5月2015年5月的更新版本更老,身份验证是通过一个名为“usernamemixx”的基于密码的端点进行的,该端点根据凭证是否有效生成访问令牌或错误代码。

正是这些错误代码导致了缺陷漏洞。虽然成功的身份验证事件会在发送访问令牌时创建登录日志,但“Autologon对Azure AD的身份验证不会被记录”,允许通过usernamemixx端点利用这一疏忽进行未检测到的暴力攻击。

Secureworks表示,它在6月29日通知了微软这一问题,但微软在7月21日承认这一行为是“故意的”。在接受《黑客新闻》采访时,该公司表示:“我们审查了这些声明,确定所描述的技术不涉及安全漏洞,并采取了保护措施,以帮助确保客户的安全。

微软表示对上述端点的暴力攻击实施了保护措施,并并且UserNameMixed API 发布的令牌不提供对数据的访问,并补充说它们需要提交回 Azure AD 以获取实际令牌。

该公司指出,此类访问令牌请求受到条件访问、Azure AD多重身份验证、Azure AD 身份保护的保护,并出现在登录日志中。

安全漏洞将软件置于危险之中。数据显示,90%的网络安全事件和软件漏洞被利用有关,在软件开发期间通过静态代码检测技术可以帮助开发人员减少30%-70%的安全漏洞,大大提高软件安全性。当前,通过提高软件自身安全性以确保网络安全,已成为继传统网络安全防护软件之后的又一有效手段。

参读链接:

thehackernews.com/2021/09/new…

评论