新的 Azure AD 漏洞讓黑客在不被發(fā)現(xiàn)的情況下暴力破解密碼

網(wǎng)絡(luò)安全研究人員披露，微軟Azure Active Directory使用的協(xié)議存在一個(gè)未修補(bǔ)的安全漏洞，潛在的對(duì)手可能會(huì)濫用該漏洞，發(fā)動(dòng)未被發(fā)現(xiàn)的暴力破解攻擊。

Secureworks反威脅小組(CTU)的研究人員在發(fā)表的一份報(bào)告中稱:“這個(gè)漏洞允許威脅參與者對(duì)Azure Active Directory (Azure AD)執(zhí)行單因素暴力攻擊，而無(wú)需在目標(biāo)組織的租戶中生成登錄事件?！?/p>

Azure Active Directory是微軟基于企業(yè)云的身份和訪問(wèn)管理(IAM)解決方案，專為單點(diǎn)登錄(SSO)和多因素認(rèn)證而設(shè)計(jì)。它也是Microsoft 365(以前的Office 365)的核心組件，具有通過(guò)OAuth向其他應(yīng)用程序提供身份驗(yàn)證的功能。

缺點(diǎn)在于無(wú)縫單點(diǎn)登錄(Seamless Single sign - on)功能，該功能允許員工在使用連接到企業(yè)網(wǎng)絡(luò)的公司設(shè)備時(shí)自動(dòng)登錄，無(wú)需輸入任何密碼。無(wú)縫SSO也是一種“機(jī)會(huì)主義特性”，因?yàn)槿绻M(jìn)程失敗，登錄會(huì)退回到默認(rèn)行為，即用戶需要在登錄頁(yè)面上輸入密碼。

為了實(shí)現(xiàn)這一點(diǎn)，該機(jī)制依賴于Kerberos協(xié)議在Azure AD中查找相應(yīng)的用戶對(duì)象，并發(fā)出票據(jù)授予票據(jù)(TGT)，允許用戶訪問(wèn)相關(guān)資源。但是對(duì)于Exchange Online的用戶，使用的Office客戶端比Office 2013年5月2015年5月的更新版本更老，身份驗(yàn)證是通過(guò)一個(gè)名為“usernamemixx”的基于密碼的端點(diǎn)進(jìn)行的，該端點(diǎn)根據(jù)憑證是否有效生成訪問(wèn)令牌或錯(cuò)誤代碼。

正是這些錯(cuò)誤代碼導(dǎo)致了缺陷漏洞。雖然成功的身份驗(yàn)證事件會(huì)在發(fā)送訪問(wèn)令牌時(shí)創(chuàng)建登錄日志，但“Autologon對(duì)Azure AD的身份驗(yàn)證不會(huì)被記錄”，允許通過(guò)usernamemixx端點(diǎn)利用這一疏忽進(jìn)行未檢測(cè)到的暴力攻擊。

Secureworks表示，它在6月29日通知了微軟這一問(wèn)題，但微軟在7月21日承認(rèn)這一行為是“故意的”。在接受《黑客新聞》采訪時(shí)，該公司表示:“我們審查了這些聲明，確定所描述的技術(shù)不涉及安全漏洞，并采取了保護(hù)措施，以幫助確保客戶的安全。

微軟表示對(duì)上述端點(diǎn)的暴力攻擊實(shí)施了保護(hù)措施，并并且UserNameMixed API 發(fā)布的令牌不提供對(duì)數(shù)據(jù)的訪問(wèn)，并補(bǔ)充說(shuō)它們需要提交回 Azure AD 以獲取實(shí)際令牌。

該公司指出，此類訪問(wèn)令牌請(qǐng)求受到條件訪問(wèn)、Azure AD多重身份驗(yàn)證、Azure AD 身份保護(hù)的保護(hù)，并出現(xiàn)在登錄日志中。

安全漏洞將軟件置于危險(xiǎn)之中。數(shù)據(jù)顯示，90%的網(wǎng)絡(luò)安全事件和軟件漏洞被利用有關(guān)，在軟件開(kāi)發(fā)期間通過(guò)靜態(tài)代碼檢測(cè)技術(shù)可以幫助開(kāi)發(fā)人員減少30%-70%的安全漏洞，大大提高軟件安全性。當(dāng)前，通過(guò)提高軟件自身安全性以確保網(wǎng)絡(luò)安全，已成為繼傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)軟件之后的又一有效手段。

參讀鏈接：

https://thehackernews.com/2021/09/new-azure-ad-bug-lets-hackers-brute.html