网络安全研究人员在微软 Azure Active Directory 使用的协议中发现了一个未修补的安全漏洞,潜在的攻击者可以利用该漏洞进行暴力破解。这个漏洞允许黑客对 Azure Active Directory ( Azure AD )执行单因素的密码爆破,而不会在目标组织的租户中生成登录事件。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,Azure Active Directory 是微软的基于企业云的身份和访问管理 (IAM) 解决方案,专为单点登录 (SSO) 和多重身份验证而设计。它也是 Microsoft 365 的核心组件,具有通过 OAuth 向其他应用程序提供身份验证的功能。
该服务的缺陷在于无缝单点登录功能,该功能允许员工在使用连接到企业网络的公司设备时自动签名,而无需输入任何密码。无缝 SSO 功能会优先尝试,如果该过程失败,登录会退回到默认行为,即用户需要在登录页面输入密码。
为此,该机制依赖Kerberos协议在 Azure AD 中查找相应的用户对象并发出票证授予票证 (TGT),允许用户访问相关资源。但对于Office 客户端早于 Office 2013 May 2015 更新的 Exchange Online 用户,身份验证通过名为“UserNameMixed”的基于密码的终结点进行,该终结点会根据凭据是否有效生成访问令牌或错误代码。
正是这些错误代码导致了缺陷。虽然成功的身份验证事件会在发送访问令牌时创建登录日志,但不会记录Autologon对 Azure AD 的身份验证,从而允许通过 UserNameMixed 端点利用遗漏进行未检测到的暴力破解。
安全研究人员表示已于 6 月 29 日将这个问题通知了微软,微软澄清了针对上述端点的暴力攻击的保护措施,并且 UserNameMixed API 发布的令牌不提供对数据的访问,并补充说它们需要提交回 Azure AD 以获取实际令牌。微软指出,此类访问令牌请求受到条件访问、Azure AD 多重身份验证、Azure AD 身份保护的保护,并出现在登录日志中。
极牛网精选文章《微软Azure AD单点登录机制漏洞,日志不记录密码爆破事件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16529.html