網(wǎng)絡(luò)安全研究人員在微軟 Azure Active Directory 使用的協(xié)議中發(fā)現(xiàn)了一個(gè)未修補(bǔ)的安全漏洞,潛在的攻擊者可以利用該漏洞進(jìn)行暴力破解��。這個(gè)漏洞允許黑客對(duì) Azure Active Directory ( Azure AD )執(zhí)行單因素的密碼爆破���,而不會(huì)在目標(biāo)組織的租戶中生成登錄事件�。
網(wǎng)絡(luò)安全研究人員在微軟 Azure Active Directory 使用的協(xié)議中發(fā)現(xiàn)了一個(gè)未修補(bǔ)的安全漏洞��,潛在的攻擊者可以利用該漏洞進(jìn)行暴力破解����。這個(gè)漏洞允許黑客對(duì) Azure Active Directory ( Azure AD )執(zhí)行單因素的密碼爆破,而不會(huì)在目標(biāo)組織的租戶中生成登錄事件�。
根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)JIKENB.COM的梳理,Azure Active Directory 是微軟的基于企業(yè)云的身份和訪問(wèn)管理 (IAM) 解決方案�,專為單點(diǎn)登錄 (SSO) 和多重身份驗(yàn)證而設(shè)計(jì)。它也是 Microsoft 365 的核心組件�,具有通過(guò) OAuth 向其他應(yīng)用程序提供身份驗(yàn)證的功能。
該服務(wù)的缺陷在于無(wú)縫單點(diǎn)登錄功能��,該功能允許員工在使用連接到企業(yè)網(wǎng)絡(luò)的公司設(shè)備時(shí)自動(dòng)簽名����,而無(wú)需輸入任何密碼。無(wú)縫 SSO 功能會(huì)優(yōu)先嘗試����,如果該過(guò)程失敗,登錄會(huì)退回到默認(rèn)行為����,即用戶需要在登錄頁(yè)面輸入密碼。
為此�,該機(jī)制依賴Kerberos協(xié)議在 Azure AD 中查找相應(yīng)的用戶對(duì)象并發(fā)出票證授予票證 (TGT),允許用戶訪問(wèn)相關(guān)資源�。但對(duì)于Office 客戶端早于 Office 2013 May 2015 更新的 Exchange Online 用戶,身份驗(yàn)證通過(guò)名為“UserNameMixed”的基于密碼的終結(jié)點(diǎn)進(jìn)行����,該終結(jié)點(diǎn)會(huì)根據(jù)憑據(jù)是否有效生成訪問(wèn)令牌或錯(cuò)誤代碼。
正是這些錯(cuò)誤代碼導(dǎo)致了缺陷�。雖然成功的身份驗(yàn)證事件會(huì)在發(fā)送訪問(wèn)令牌時(shí)創(chuàng)建登錄日志,但不會(huì)記錄Autologon對(duì) Azure AD 的身份驗(yàn)證,從而允許通過(guò) UserNameMixed 端點(diǎn)利用遺漏進(jìn)行未檢測(cè)到的暴力破解。
安全研究人員表示已于 6 月 29 日將這個(gè)問(wèn)題通知了微軟����,微軟澄清了針對(duì)上述端點(diǎn)的暴力攻擊的保護(hù)措施,并且 UserNameMixed API 發(fā)布的令牌不提供對(duì)數(shù)據(jù)的訪問(wèn)���,并補(bǔ)充說(shuō)它們需要提交回 Azure AD 以獲取實(shí)際令牌���。微軟指出,此類訪問(wèn)令牌請(qǐng)求受到條件訪問(wèn)���、Azure AD 多重身份驗(yàn)證��、Azure AD 身份保護(hù)的保護(hù)���,并出現(xiàn)在登錄日志中。
立即登錄�,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于百家號(hào),本站不擁有所有權(quán)���,不承擔(dān)相關(guān)法律責(zé)任���。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持���。如有侵權(quán)���,請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除���!
閩公網(wǎng)安備 35010202001226號(hào)
