Protocoale vechi utilizate pentru a ocoli Microsoft 365 MFA – Securitate


Cercetătorii au descoperit că vulnerabilitățile dintr-un protocol vechi și soluțiile pentru furnizorii de identitate pot fi exploatate de atacatori pentru a ocoli autentificarea cu mai mulți factori (MFA) pentru Microsoft 365.

Vulnerabilitățile critice au fost descoperite de furnizorul de securitate Proofpoint în mediile cloud care au activat protocolul de autentificare Web Services Trust (WS-Trust), care – dacă ar fi exploatat – ar oferi atacatorilor acces complet la conturile victimei, inclusiv poștă, fișiere, persoane de contact și alte date.

Punct de probă a spus că atacurile reușite asupra sistemelor WS-Trust care profită de sistemele buggy Identity Provider ar putea falsifica adresele protocolului internet cu o simplă manipulare a antetului cererii pentru a ocoli MFA.

Schimbarea antetului utilizator-agent al browserului web ar putea păcăli Furnizorul de identitate să identifice greșit protocolul WS-Trust și să creadă că se folosește în schimb cea mai nouă metodă de autentificare modernă.

Protocolul de securitate face parte din familia de standarde a serviciilor web și este aprobat de Organizația pentru avansarea standardelor de informații structurate (OAZĂ).

Microsoft a depreciat utilizarea autentificării WS-Trust în februarie anul acesta, numind protocolul „inerent nesigur de standardele actuale de criptare”.

„Protocolul de securitate WS-Trust, atunci când este utilizat împreună cu un cont de utilizator și o parolă, implementează un flux de autentificare care prezintă atât ID-ul utilizatorului cât și parola resursei de autentificare în formă„ text clar ”, bazându-se exclusiv pe criptarea transportului pentru a furniza securitate pentru etapa inițială a autentificării, până în momentul în care serviciul de jetoane returnează un jeton de autentificare de utilizat, "Microsoft a spus.

Până luna viitoare, WS-Trust va fi retras pentru noii chiriași Office 365, dar protocolul de securitate nu va fi abandonat complet până în aprilie 2022.

Utilizarea protocoalelor de e-mail moștenite care nu acceptă MFA, cum ar fi POP și IMAP, pot ocoli și stratul de autentificare suplimentar pentru atacurile asupra conturilor cloud, a spus Proofpoint.

Alte modalități de a ocoli MFA includ phishingul în timp real, a spus Proofpoint.

Aceasta presupune ca un atacator să creeze un proxy care să imite site-urile autentice pe care victimele încearcă să le conecteze, dar care în schimb captează acreditările utilizatorilor.

Deturnarea codurilor MFA trimise din bandă către telefoane și computere folosind programe malware poate duce, de asemenea, la compromisuri.

O monitorizare mai bună pentru a detecta compromisul contului și pentru a remedia atacurile poate ajuta la atenuarea ocolirilor MFA, care a devenit o preocupare din ce în ce mai mare, deoarece personalul lucrează de acasă în timpul pandemiei COVID-19, a spus furnizorul de securitate.



Source link

Lasă un răspuns