Обход MFA позволяет хакерам проникнуть в Microsoft 365

Критические уязвимости в протоколах многофакторной аутентификации (MFA), основанные на стандарте безопасности WS-Trust, могут позволить киберпреступникам получить доступ к различным облачным приложениям, включая основные сервисы Microsoft.
Обход MFA позволяет хакерам проникнуть в Microsoft 365

Фото: Pixabay

Microsoft 365  является наиболее известной облачной службой, в которую можно проникнуть таким образом, сообщает британское издание CloudPro. Скомпрометированы оказались и другие облачные службы, производственные среды и среды разработки, такие как Microsoft Azure, а также Visual Studio.

Недостаток заключается в реализации спецификации WS-Trust, стандарта OASIS, который используется для обновления и проверки токенов безопасности и установления доверенных соединений. Исследователи компании Proofpoint утверждают, что WS-Trust по своей сути небезопасен, и что поставщики удостоверений Microsoft реализовали стандарт с рядом ошибок.

Эти уязвимости можно использовать, чтобы подделать IP-адрес для обхода MFA с помощью простой манипуляции с заголовком запроса. В другом примере изменение заголовка пользовательского агента также может привести к тому, что система неверно определит протокол и решит, что использует «современную аутентификацию». 

«Скорее всего, эти уязвимости существуют годами. Мы протестировали несколько решений Identity Provider (IDP), определили те, которые были уязвимыми, и устранили проблемы безопасности », — заявили в Proofpoint. — «Уязвимости требуют исследования, но после обнаружения их можно использовать в автоматическом режиме. Их трудно обнаружить, и они могут даже не отображаться в журналах событий, не оставляя следов или намеков на их действия. Поскольку MFA в качестве превентивной меры можно обойти, возникает необходимость в дополнительных мерах безопасности в виде обнаружения и устранения компрометации учетной записи».

Как сообщал Startpack, в сентябре компания исправила 129 уязвимостей в 15 продуктах, от Windows до ASP.NET.

Упомянутые сервисы

Microsoft 365 Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).
Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).
Microsoft Azure Одна из открытых и гибких платформ облачных вычислений корпоративного класса для эффективной работы.
Одна из открытых и гибких платформ облачных вычислений корпоративного класса для эффективной работы.
Visual Studio Team Services Система эффективного планирования, совместного написания кода и быстрой поставки.
Система эффективного планирования, совместного написания кода и быстрой поставки.
Посмотреть всё

Больше интересного

Актуальное

Oracle может стать управляющей компанией TikTok в США
Ошибка избирательного приложения Джо Байдена рассекретила конфидент избирателей
Еще два инструмента безопасности Oracle стали общедоступными
Ещё…