Исследователи в области кибербезопасности раскрыли неисправленную уязвимость в протоколе, используемом Microsoft Azure Active Directory, которой потенциальные атакующие могут воспользоваться для проведения незамеченных атак методом грубой силы.
«Этот недостаток позволяет злоумышленникам осуществлять однофакторные атаки методом грубой силы на Azure Active Directory (Azure AD) без генерации событий входа в систему в логах целевой организации» - сообщили исследователи из Secureworks Counter Threat Unit (CTU).
Azure Active Directory - это корпоративное облачное решение Microsoft для управления идентификацией и доступом (IAM), предназначенное для прозрачной аутентификации (SSO) и многофакторной аутентификации. Оно также является основным компонентом Microsoft 365 (ранее Office 365) с возможностью аутентификации других приложений через OAuth.
Уязвимость заключается в функции Seamless Single Sign-On, которая позволяет сотрудникам автоматически подписываться при использовании подключенных к корпоративным сетям устройств без необходимости вводить какие-либо пароли. Seamless SSO также является «оппортунистической функцией», так как в случае сбоя процесса, логин возвращается к поведению по умолчанию, при котором пользователю необходимо ввести пароль на странице входа в систему.
Для этого механизм полагается на протокол Kerberos, который ищет соответствующий объект пользователя в Azure AD и выдает тикет на предоставление доступа (ticket-granting ticket, TGT), разрешая пользователю доступ к соответствующему ресурсу. Но для пользователей Exchange Online с клиентами Office старше обновления Office 2013 May 2015, аутентификация осуществляется через основанную на пароле конечную точку под названием «UserNameMixed», которая либо генерирует маркер доступа, либо код ошибки в зависимости от того, действительны ли учетные данные.
Именно в этих кодах ошибок и кроется изъян. В то время как события успешной аутентификации создают журналы регистрации при отправке маркеров доступа, «аутентификация Autologon в Azure AD не регистрируется», что позволяет использовать это упущение для незаметных атак методом грубой силы через конечную точку UserNameMixed.
Исследователи Secureworks заявили что уведомили Microsoft о проблеме 29 июня, а 21 июля Microsoft признала такое поведение «намеренным». Издание The Hacker News связалось с компанией для получения дальнейших комментариев.
Источник: https://thehackernews.com
