资讯专栏INFORMATION COLUMN

新的 Azure AD 漏洞让黑客在不被发现的情况下暴力破解密码

go4it / 1494人阅读

摘要:表示,它在月日通知了微软这一问题,但微软在月日承认这一行为是故意的。微软表示对上述端点的暴力攻击实施了保护措施,并并且发布的令牌不提供对数据的访问,并补充说它们需要提交回以获取实际令牌。

网络安全研究人员披露,微软Azure Active Directory使用的协议存在一个未修补的安全漏洞,潜在的对手可能会滥用该漏洞,发动未被发现的暴力破解攻击。

Secureworks反威胁小组(CTU)的研究人员在发表的一份报告中称:“这个漏洞允许威胁参与者对Azure Active Directory (Azure AD)执行单因素暴力攻击,而无需在目标组织的租户中生成登录事件。”

Azure Active Directory是微软基于企业云的身份和访问管理(IAM)解决方案,专为单点登录(SSO)和多因素认证而设计。它也是Microsoft 365(以前的Office 365)的核心组件,具有通过OAuth向其他应用程序提供身份验证的功能。

缺点在于无缝单点登录(Seamless Single sign - on)功能,该功能允许员工在使用连接到企业网络的公司设备时自动登录,无需输入任何密码。无缝SSO也是一种“机会主义特性”,因为如果进程失败,登录会退回到默认行为,即用户需要在登录页面上输入密码。

图片3.png

为了实现这一点,该机制依赖于Kerberos协议在Azure AD中查找相应的用户对象,并发出票据授予票据(TGT),允许用户访问相关资源。但是对于Exchange Online的用户,使用的Office客户端比Office 2013年5月2015年5月的更新版本更老,身份验证是通过一个名为“usernamemixx”的基于密码的端点进行的,该端点根据凭证是否有效生成访问令牌或错误代码。

正是这些错误代码导致了缺陷漏洞。虽然成功的身份验证事件会在发送访问令牌时创建登录日志,但“Autologon对Azure AD的身份验证不会被记录”,允许通过usernamemixx端点利用这一疏忽进行未检测到的暴力攻击。

Secureworks表示,它在6月29日通知了微软这一问题,但微软在7月21日承认这一行为是“故意的”。在接受《黑客新闻》采访时,该公司表示:“我们审查了这些声明,确定所描述的技术不涉及安全漏洞,并采取了保护措施,以帮助确保客户的安全。

微软表示对上述端点的暴力攻击实施了保护措施,并并且UserNameMixed API 发布的令牌不提供对数据的访问,并补充说它们需要提交回 Azure AD 以获取实际令牌。

该公司指出,此类访问令牌请求受到条件访问、Azure AD多重身份验证、Azure AD 身份保护的保护,并出现在登录日志中。

安全漏洞将软件置于危险之中。数据显示,90%的网络安全事件和软件漏洞被利用有关,在软件开发期间通过静态代码检测技术可以帮助开发人员减少30%-70%的安全漏洞,大大提高软件安全性。当前,通过提高软件自身安全性以确保网络安全,已成为继传统网络安全防护软件之后的又一有效手段。

参读链接:

thehackernews.com/2021/09/new…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/122216.html

相关文章

  • [转]MD5(1)-安全性与原理

    摘要:没错,年的破解就是证明了在碰撞上面不可靠,也就是可以通过某种方式快速的找到具有相同散列值的另一个信息。好,第二个不安全的误区来了上述破解过程对于绝大多数散列函数来说,基本上都是一个道理。 转载请注明出处 http://www.paraller.com 原文排版地址 点击获取更好阅读体验 转载: http://blog.sina.com.cn/s/blog_77e8d1350100w...

    ideaa 评论0 收藏0
  • 安全开发笔记

    摘要:登录注册安全风险登录注册的风险点主要有四个暴力破解撞库遍历注册用户批量注册。引入了验证码机制同样引入了额外的安全风险,比如短信验证码的短信炸弹风险图形验证码的可绕过可识别等。 概述 很多技术研发不了解安全,也不重视安全,只有在自己的服务器被黑掉、被挂马、被脱裤才想起关注安全,但是这个时候,技术架构已经成型、代码已经在线上稳定运行,再亡羊补牢,改代码、改策略,往往成本巨大、确收效很低。所...

    Cruise_Chan 评论0 收藏0
  • 网络安全态势可视化

    摘要:安全态势可视化系统的目的是生成网络安全综合态势图,以多视图多角度多尺度的方式与用户进行交互。可以看到,黑客攻击是无处不在,无时不有的,世界互联网的安全态势并不如我们印象中那么隐蔽和少见。 导语 网络态势可视化技术作为一项新技术,是网络安全态势感知与可视化技术的结合,将网络中蕴涵的态势状况通过可视化图形方式展示给用户,并借助于人在图形图像方面强大的处理能力,实现对网络异常行为的分析和检测...

    testHs 评论0 收藏0
  • 【译】Nodejs应用安全备忘录

    摘要:所以我们整理了一个应用安全备忘录,以帮助你在部署启动应用程序的时候进行安全检查。这可以保护应用程序不被攻击。应该用日志记录下来,而不是显示给用户。 本人的博客http://www.wjs.photo/,感兴趣的可以看看哦,基于NodeJs框架ThinkJs 本文翻译自 www.risingstack.com ,并非逐字逐句的翻译,有错误的地方请指出,谢谢啦 应用程序的安全就像是你房间里...

    Loong_T 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<