MFA 繞過漏洞使 Microsoft 365 受到攻擊
WS-Trust中存在多年的漏洞可被利用來攻擊其他服務,如Azure和Visual Studio。
Proofpoint的研究人員說,微軟基于云的辦公室生產力平臺Microsoft 365使用的多因素身份驗證系統中的漏洞為黑客通過繞過安全系統訪問云應用程序打開了大門。
這些漏洞存在于在啟用了WS-Trust并與Microsoft 365(以前稱為Office 365)一起使用的云環境中實現WS-Trust規范的過程。WS-Trust是 OASIS 標準,提供了WS-Security和用于更新和驗證安全令牌,代理信任關系-安全消息交換體系結構的一部分。
結構化信息標準促進組織(OASIS)是一個非盈利性聯盟,致力于促進安全性的開放標準。
研究人員說,問題在于WS-Trust是一種“固有的不安全協議”,并且Microsoft身份提供商(IDP)實施了帶有各種漏洞的規范。
“由于Microsoft 365會話登錄的設計方式,攻擊者可以獲得對目標帳戶的完全訪問權限(包括郵件,文件,聯系人,數據等),” Proofpoint的Cloud Access Security Broker的高級產品營銷經理Itir Clarke,在周二在線發布的報告中。“此外,這些漏洞還可以用于訪問Microsoft提供的各種其他云服務,包括生產和開發環境(例如Azure和Visual Studio)。”
她說,微軟對該標準的實施為攻擊者提供了多種方法來繞過MFA和訪問其云服務,從而為各種攻擊鋪平了道路-包括實時網絡釣魚,通道劫持和使用舊協議。
她寫道:“在某些情況下,攻擊者可能通過簡單的請求標頭操縱來欺騙一個IP地址以繞過MFA。” Clarke說,在另一種情況下,攻擊者可能會更改用戶代理標頭,并導致身份提供者錯誤地識別協議。
“在所有情況下,由于漏洞利用已從傳統協議轉移到現代協議,因此Microsoft將連接記錄為’現代身份驗證’。在不了解情況和所涉及的風險的情況下,監視租戶的管理員和安全專業人員將看到通過現代身份驗證建立的連接。”
Proofpoint表示,他們測試了許多IDP解決方案,發現了那些容易受到攻擊的問題,并緩解了這些問題。
Proofpoint說,WS-Trust協議為攻擊者利用Microsoft365云服務進行多種攻擊場景打開了大門。一種是通過簡單的請求頭操作欺騙IP地址以繞過MFA。
Clarke寫道,另一種情況是更改導致IDP錯誤標識協議的用戶代理標頭,并認為該協議正在使用現代身份驗證。
MFA,一個不斷增長的目標
隨著許多組織更多地依賴于使用云因是因為增加的工作在家情景COVID-19大流行,MFA正在成為一個“必須具備的安全層”,以保護從這些環境中無數的威脅已經冒出向上,Clarke指出。
她寫道:“員工開始從個人和不受管理的設備訪問公司應用程序。” “他們開始在家里花更多時間在公司設備上,閱讀可能有害的個人電子郵件,或瀏覽有風險的網站。”
Clarke補充說,對MFA的依賴增加也意味著,對于威脅行為者來說,該功能作為進入企業網絡的一種方式更具吸引力,這使得緩解影響MFA的漏洞對安全至關重要。她說,這可能意味著組織必須添加其他保護措施來減輕風險和攻擊,例如將MFA和威脅可見性結合起來以保護云環境。
事實上,Proofpoint發現的漏洞并不是攻擊者第一次利用Office365中的MFA。Cofense的研究人員在5月份觀察到了一場網絡釣魚活動,該活動也繞過了云協作服務中的MFA,以訪問存儲在云中的受害者數據。該策略利用OAuth2框架和OpenID Connect(OIDC)協議,并使用惡意SharePoint鏈接誘騙用戶授予對流氓應用程序的權限。
在本周的最近一次,Microsoft 365 還面臨另一種網絡釣魚攻擊-該攻擊使用一種新技術來利用受害者的身份驗證API實時驗證受害者的Office 365憑據-當他們進入登錄頁面時。
