新的 Azure AD 漏洞讓黑客在不被發現的情況下發動攻擊

網路安全研究人員披露，微軟Azure Active Directory使用的協議存在一個未修補的安全漏洞，潛在的對手可能會濫用該漏洞，發動未被發現的暴力破解攻擊。

Secureworks反威脅小組(CTU)的研究人員在發表的一份報告中稱:“這個漏洞允許威脅參與者對Azure Active Directory (Azure AD)執行單因素暴力攻擊，而無需在目標組織的租戶中生成登入事件。”

Azure Active Directory是微軟基於企業雲的身份和訪問管理(IAM)解決方案，專為單點登入(SSO)和多因素認證而設計。它也是Microsoft 365(以前的Office 365)的核心元件，具有通過OAuth向其他應用程式提供身份驗證的功能。

缺點在於無縫單點登入(Seamless Single sign - on)功能，該功能允許員工在使用連線到企業網路的公司裝置時自動登入，無需輸入任何密碼。無縫SSO也是一種“機會主義特性”，因為如果程式失敗，登入會退回到預設行為，即使用者需要在登入頁面上輸入密碼。

為了實現這一點，該機制依賴於Kerberos協議在Azure AD中查詢相應的使用者物件，併發出憑據授予憑據(TGT)，允許使用者訪問相關資源。但是對於Exchange Online的使用者，使用的Office客戶端比Office 2013年5月2015年5月的更新版本更老，身份驗證是通過一個名為“usernamemixx”的基於密碼的端點進行的，該端點根據憑證是否有效生成訪問令牌或錯誤程式碼。

正是這些錯誤程式碼導致了缺陷漏洞。雖然成功的身份驗證事件會在傳送訪問令牌時建立登入日誌，但“Autologon對Azure AD的身份驗證不會被記錄”，允許通過usernamemixx端點利用這一疏忽進行未檢測到的暴力攻擊。

Secureworks表示，它在6月29日通知了微軟這一問題，但微軟在7月21日承認這一行為是“故意的”。在接受《黑客新聞》採訪時，該公司表示:“我們審查了這些宣告，確定所描述的技術不涉及安全漏洞，並採取了保護措施，以幫助確保客戶的安全。

微軟表示對上述端點的暴力攻擊實施了保護措施，並並且UserNameMixed API 釋出的令牌不提供對資料的訪問，並補充說它們需要提交回 Azure AD 以獲取實際令牌。

該公司指出，此類訪問令牌請求受到條件訪問、Azure AD多重身份驗證、Azure AD 身份保護的保護，並出現在登入日誌中。

安全漏洞將軟體置於危險之中。資料顯示，90%的網路安全事件和軟體漏洞被利用有關，在軟體開發期間通過 靜態程式碼檢測技術可以幫助開發人員減少30%-70%的安全漏洞，大大提高軟體安全性。當前，通過提高軟體自身安全性以確保網路安全，已成為繼傳統網路安全防護軟體之後的又一有效手段。

參讀連結：