微软Azure AD单点登录机制漏洞，日志不记录密码爆破事件

网络安全研究人员在微软 Azure Active Directory 使用的协议中发现了一个未修补的安全漏洞，潜在的攻击者可以利用该漏洞进行暴力破解。这个漏洞允许黑客对 Azure Active Directory ( Azure AD )执行单因素的密码爆破，而不会在目标组织的租户中生成登录事件。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，Azure Active Directory 是微软的基于企业云的身份和访问管理 (IAM) 解决方案，专为单点登录 (SSO) 和多重身份验证而设计。它也是 Microsoft 365 的核心组件，具有通过 OAuth 向其他应用程序提供身份验证的功能。

该服务的缺陷在于无缝单点登录功能，该功能允许员工在使用连接到企业网络的公司设备时自动签名，而无需输入任何密码。无缝 SSO 功能会优先尝试，如果该过程失败，登录会退回到默认行为，即用户需要在登录页面输入密码。

为此，该机制依赖Kerberos协议在 Azure AD 中查找相应的用户对象并发出票证授予票证 (TGT)，允许用户访问相关资源。但对于Office 客户端早于 Office 2013 May 2015 更新的 Exchange Online 用户，身份验证通过名为“UserNameMixed”的基于密码的终结点进行，该终结点会根据凭据是否有效生成访问令牌或错误代码。

正是这些错误代码导致了缺陷。虽然成功的身份验证事件会在发送访问令牌时创建登录日志，但不会记录Autologon对 Azure AD 的身份验证，从而允许通过 UserNameMixed 端点利用遗漏进行未检测到的暴力破解。

安全研究人员表示已于 6 月 29 日将这个问题通知了微软，微软澄清了针对上述端点的暴力攻击的保护措施，并且 UserNameMixed API 发布的令牌不提供对数据的访问，并补充说它们需要提交回 Azure AD 以获取实际令牌。微软指出，此类访问令牌请求受到条件访问、Azure AD 多重身份验证、Azure AD 身份保护的保护，并出现在登录日志中。