WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗi mới trên Azure AD cho phép brute-force mật khẩu mà không bị phát hiện
Các nhà nghiên cứu an ninh mạng vừa tiết lộ một lỗ hổng an ninh chưa được vá trong giao thức được Microsoft Azure Active Directory sử dụng, có thể bị tin tặc lợi dụng để tấn công brute-force mà không bị phát hiện.
Các nhà nghiên cứu Secureworks Counter Threat Unit (CTU) cho biết: "Lỗ hổng này cho phép hacker thực hiện các cuộc tấn công brute-force nhắm vào Azure Active Directory (Azure AD) mà không phải đăng nhập vào hệ thống mục tiêu".
Lỗ hổng phát sinh do tính năng đăng nhập đăng nhập 1 lần (Seamless SSO) cho phép nhân viên tự động đăng nhập khi sử dụng các thiết bị của công ty có kết nối mạng mà không cần phải nhập lại mật khẩu. Nếu quá trình đăng nhập không thành công, yêu cầu đăng nhập sẽ về mặc định, nghĩa là người dùng cần nhập lại mật khẩu.
Cơ chế Seamless SSO dựa vào giao thức Kerberos để tra cứu đối tượng người dùng tương ứng trong Azure AD và cấp một phiếu cấp vé (TGT), cho phép người dùng truy cập. Đối với người dùng Exchange Online trên máy khách Office cũ hơn bản cập nhật Office 2013 phát hành từ tháng 5/2015, bước xác thực được thực hiện thông qua điểm cuối theo cách thức mật khẩu "UserNameMixed" tạo mã thông báo truy cập hoặc mã lỗi, tùy thuộc vào thông tin xác thực có hợp lệ hay không.
Những mã lỗi này là nguồn gốc của lỗ hổng. Xác thực thành công sẽ tạo nhật ký đăng nhập khi gửi mã thông báo truy cập; tuy nhiên, "Xác thực của Autologon tới Azure AD không được ghi lại", dẫn đến các cuộc tấn công brute-force thông qua điểm cuối UserNameMixed mà không bị phát hiện.
Secureworks đã thông báo cho Microsoft về lỗ hổng từ 29/6 và hãng thừa nhận lỗi này do thiết kế.
Các nhà nghiên cứu Secureworks Counter Threat Unit (CTU) cho biết: "Lỗ hổng này cho phép hacker thực hiện các cuộc tấn công brute-force nhắm vào Azure Active Directory (Azure AD) mà không phải đăng nhập vào hệ thống mục tiêu".
Lỗ hổng phát sinh do tính năng đăng nhập đăng nhập 1 lần (Seamless SSO) cho phép nhân viên tự động đăng nhập khi sử dụng các thiết bị của công ty có kết nối mạng mà không cần phải nhập lại mật khẩu. Nếu quá trình đăng nhập không thành công, yêu cầu đăng nhập sẽ về mặc định, nghĩa là người dùng cần nhập lại mật khẩu.
Cơ chế Seamless SSO dựa vào giao thức Kerberos để tra cứu đối tượng người dùng tương ứng trong Azure AD và cấp một phiếu cấp vé (TGT), cho phép người dùng truy cập. Đối với người dùng Exchange Online trên máy khách Office cũ hơn bản cập nhật Office 2013 phát hành từ tháng 5/2015, bước xác thực được thực hiện thông qua điểm cuối theo cách thức mật khẩu "UserNameMixed" tạo mã thông báo truy cập hoặc mã lỗi, tùy thuộc vào thông tin xác thực có hợp lệ hay không.
Những mã lỗi này là nguồn gốc của lỗ hổng. Xác thực thành công sẽ tạo nhật ký đăng nhập khi gửi mã thông báo truy cập; tuy nhiên, "Xác thực của Autologon tới Azure AD không được ghi lại", dẫn đến các cuộc tấn công brute-force thông qua điểm cuối UserNameMixed mà không bị phát hiện.
Secureworks đã thông báo cho Microsoft về lỗ hổng từ 29/6 và hãng thừa nhận lỗi này do thiết kế.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: