網絡安全研究人員披露,微軟Azure Active Directory使用的協議存在一個未修補的安全漏洞,潛在的對手可能會濫用該漏洞,發動未被發現的暴力破解攻擊。
Secureworks反威脅小組(CTU)的研究人員在發表的一份報告中稱:“這個漏洞允許威脅參與者對Azure Active Directory (Azure AD)執行單因素暴力攻擊,而無需在目標組織的租戶中生成登錄事件。”
Azure Active Directory是微軟基于企業云的身份和訪問管理(IAM)解決方案,專為單點登錄(SSO)和多因素認證而設計。它也是Microsoft 365(以前的Office 365)的核心組件,具有通過OAuth向其他應用程序提供身份驗證的功能。
缺點在于無縫單點登錄(Seamless Single sign - on)功能,該功能允許員工在使用連接到企業網絡的公司設備時自動登錄,無需輸入任何密碼。無縫SSO也是一種“機會主義特性”,因為如果進程失敗,登錄會退回到默認行為,即用戶需要在登錄頁面上輸入密碼。
為了實現這一點,該機制依賴于Kerberos協議在Azure AD中查找相應的用戶對象,并發出票據授予票據(TGT),允許用戶訪問相關資源。但是對于Exchange Online的用戶,使用的Office客戶端比Office 2013年5月2015年5月的更新版本更老,身份驗證是通過一個名為“usernamemixx”的基于密碼的端點進行的,該端點根據憑證是否有效生成訪問令牌或錯誤代碼。
正是這些錯誤代碼導致了缺陷漏洞。雖然成功的身份驗證事件會在發送訪問令牌時創建登錄日志,但“Autologon對Azure AD的身份驗證不會被記錄”,允許通過usernamemixx端點利用這一疏忽進行未檢測到的暴力攻擊。
Secureworks表示,它在6月29日通知了微軟這一問題,但微軟在7月21日承認這一行為是“故意的”。在接受《黑客新聞》采訪時,該公司表示:“我們審查了這些聲明,確定所描述的技術不涉及安全漏洞,并采取了保護措施,以幫助確保客戶的安全。
微軟表示對上述端點的暴力攻擊實施了保護措施,并并且UserNameMixed API 發布的令牌不提供對數據的訪問,并補充說它們需要提交回 Azure AD 以獲取實際令牌。
該公司指出,此類訪問令牌請求受到條件訪問、Azure AD多重身份驗證、Azure AD 身份保護的保護,并出現在登錄日志中。
安全漏洞將軟件置于危險之中。數據顯示,90%的網絡安全事件和軟件漏洞被利用有關,在軟件開發期間通過靜態代碼檢測技術可以幫助開發人員減少30%-70%的安全漏洞,大大提高軟件安全性。當前,通過提高軟件自身安全性以確保網絡安全,已成為繼傳統網絡安全防護軟件之后的又一有效手段。
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/122216.html
