Исследователи обнаружили, что уязвимости в устаревших протоколах и решениях поставщиков удостоверений могут быть использованы злоумышленниками для обхода многофакторной аутентификации (MFA) для Microsoft 365.
Критические уязвимости были обнаружены поставщиком безопасности Proofpoint в облачных средах с включенным протоколом аутентификации Web Services Trust (WS-Trust), который — если его использовать — даст злоумышленникам полный доступ к учетным записям жертв, включая почту, файлы, контакты и другие данные.
Proofpoint сказал, что успешные атаки на системы WS-Trust, которые используют преимущества ошибочных систем поставщиков удостоверений, могут подделывать адреса интернет-протоколов с помощью простых манипуляций заголовками запросов в обход MFA.
Изменение заголовка user-agent веб-браузера может обмануть Поставщика удостоверений, чтобы он неправильно идентифицировал протокол WS-Trust и подумал, что вместо него используется более новый современный метод аутентификации.
Протокол безопасности является частью семейства стандартов веб-сервисов и одобрен Организацией по продвижению стандартов структурированной информации (OASIS).
Microsoft устарела использовать аутентификацию WS-Trust в феврале этого года, назвав протокол «изначально небезопасным по текущим стандартам шифрования».»
«Протокол безопасности WS-Trust, используемый в сочетании с учетной записью пользователя и паролем, реализует поток аутентификации, который представляет как идентификатор пользователя, так и пароль аутентифицирующему ресурсу в форме» открытого текста», полагаясь исключительно на транспортное шифрование для обеспечения безопасности начального этапа аутентификации до тех пор, пока служба токенов не вернет токен аутентификации для использования», — говорится в сообщении Microsoft.
К следующему месяцу WS-Trust будет удален для новых арендаторов Office 365, но протокол безопасности не будет полностью удален до апреля 2022 года.
Использование устаревших протоколов электронной почты, которые не поддерживают MFA, таких как POP и IMAP, также может обойти дополнительный уровень аутентификации для атак на облачные учетные записи, сказал Proofpoint.
Другие способы обойти МИД включают фишинг в реальном времени, сказал Proofpoint.
Это включает в себя установку злоумышленником прокси-сервера, который имитирует аутентичный веб-сайт, на который жертвы пытаются войти, но вместо этого захватывает учетные данные пользователей.
Угон кодов МИД, отправленных вне диапазона на телефоны и компьютеры с помощью вредоносных программ, также может привести к компрометации.
Наличие лучшего мониторинга для обнаружения компрометации учетных записей и устранения атак может помочь смягчить обходы МИД, что становится все более серьезной проблемой, поскольку сотрудники работают из дома во время пандемии COVID-19, сказал поставщик безопасности.