WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Xác thực đa yếu tố MFA có thể bị vượt qua để tấn công Microsoft 365
Các lỗ hổng trong hệ thống xác thực đa yếu tố được sử dụng bởi nền tảng office dựa trên đám mây của Microsoft đã “mở cửa” cho tin tặc truy cập vào các ứng dụng đám mây bằng cách vượt qua hệ thống bảo mật, các nhà nghiên cứu tại Proofpoint cho hay.
Các lỗ hổng này tồn tại trong cách triển khai WS-Trust trong môi trường đám mây, nơi WS-Trust được kích hoạt và sử dụng cùng Microsoft 365. WS-Trust là một tiêu chuẩn OASIS (Tổ chức Thúc đẩy Tiêu chuẩn Thông tin Có cấu trúc) cung cấp các phần mở rộng cho WS-Security và được sử dụng để gia hạn và xác thực token bảo mật, kết nối mối quan hệ tin cậy.
Các nhà nghiên cứu cho biết, vấn đề nằm ở chỗ WS-Trust là một “giao thức không an toàn” và Nhà cung cấp danh tính Microsoft (IDP) đã triển khai các thông số kỹ thuật có nhiều lỗi.
“Do cách thiết kế đăng nhập phiên Microsoft 365, kẻ tấn công có thể giành toàn quyền truy cập vào tài khoản của mục tiêu (bao gồm thư, tệp, danh bạ, dữ liệu và hơn thế nữa). Hơn nữa những lỗ hổng này cũng có thể được sử dụng để truy cập vào nhiều dịch vụ đám mây khác do Microsoft cung cấp, bao gồm các môi trường sản xuất và phát triển như Azure và Visual Studio”, Proofpoint cho biết.
Theo đó, việc Microsoft triển khai tiêu chuẩn này mang đến cho kẻ tấn công một số cách để vượt qua xác thực đa yếu tố MFA và truy cập vào các dịch vụ đám mây, mở đường cho các cuộc tấn công khác nhau - bao gồm lừa đảo theo thời gian thực, chiếm quyền điều khiển kênh và sử dụng các giao thức cũ.
“Trong một số trường hợp, kẻ tấn công có thể giả mạo [một] địa chỉ IP để vượt qua MFA thông qua tác động đến header của một yêu cầu đơn giản. Trong trường hợp khác, kẻ tấn công có thể thay đổi header của user-agent và khiến Nhà cung cấp danh tính xác định sai giao thức.
MFA ngày càng trở thành mục tiêu của tin tặc
Khi nhiều tổ chức phụ thuộc hơn vào việc sử dụng đám mây để làm việc tại nhà do đại dịch COVID-19, MFA đang trở thành “lớp bảo mật bắt buộc phải có” để bảo vệ các môi trường này khỏi vô số các mối đe dọa.
“Nhân viên bắt đầu truy cập các ứng dụng của công ty từ các thiết bị cá nhân không được quản lý. Và họ dành nhiều thời gian hơn trên các thiết bị của công ty ở nhà, đọc email hoặc truy cập các trang web tiềm ẩn nhiều rủi ro tấn công”.
Tuy nhiên sự phụ thuộc nhiều hơn vào MFA cũng có nghĩa là tính năng này là công cụ hấp dẫn kẻ xấu tìm cách xâm nhập mạng công ty. Điều này có nghĩa là các tổ chức phải bổ sung các biện pháp bảo vệ khác để giảm thiểu rủi ro và các cuộc tấn công, chẳng hạn như kết hợp MFA và khả năng hiển thị mối đe dọa vào các môi trường đám mây an toàn.
Thật vậy, đây không phải là lần đầu tiên kẻ tấn công khai thác việc sử dụng MFA trong Office 365. Các nhà nghiên cứu tại Cofense đã quan sát thấy một chiến dịch lừa đảo vào tháng 5 cũng vượt qua MFA trong dịch vụ cộng tác đám mây để truy cập dữ liệu của nạn nhân được lưu trữ trên đám mây. Chiến thuật đó đã tận dụng khuôn khổ OAuth2 và giao thức OpenID Connect (OIDC) và sử dụng liên kết SharePoint độc hại để lừa người dùng cấp quyền cho một ứng dụng giả mạo.
Gần đây hơn, Microsoft 365 cũng phải đối mặt một cuộc tấn công lừa đảo khác sử dụng một kỹ thuật mới để sử dụng API xác thực nhằm xác thực thông tin đăng nhập Office 365 của nạn nhân.
Các lỗ hổng này tồn tại trong cách triển khai WS-Trust trong môi trường đám mây, nơi WS-Trust được kích hoạt và sử dụng cùng Microsoft 365. WS-Trust là một tiêu chuẩn OASIS (Tổ chức Thúc đẩy Tiêu chuẩn Thông tin Có cấu trúc) cung cấp các phần mở rộng cho WS-Security và được sử dụng để gia hạn và xác thực token bảo mật, kết nối mối quan hệ tin cậy.
Các nhà nghiên cứu cho biết, vấn đề nằm ở chỗ WS-Trust là một “giao thức không an toàn” và Nhà cung cấp danh tính Microsoft (IDP) đã triển khai các thông số kỹ thuật có nhiều lỗi.
“Do cách thiết kế đăng nhập phiên Microsoft 365, kẻ tấn công có thể giành toàn quyền truy cập vào tài khoản của mục tiêu (bao gồm thư, tệp, danh bạ, dữ liệu và hơn thế nữa). Hơn nữa những lỗ hổng này cũng có thể được sử dụng để truy cập vào nhiều dịch vụ đám mây khác do Microsoft cung cấp, bao gồm các môi trường sản xuất và phát triển như Azure và Visual Studio”, Proofpoint cho biết.
Theo đó, việc Microsoft triển khai tiêu chuẩn này mang đến cho kẻ tấn công một số cách để vượt qua xác thực đa yếu tố MFA và truy cập vào các dịch vụ đám mây, mở đường cho các cuộc tấn công khác nhau - bao gồm lừa đảo theo thời gian thực, chiếm quyền điều khiển kênh và sử dụng các giao thức cũ.
“Trong một số trường hợp, kẻ tấn công có thể giả mạo [một] địa chỉ IP để vượt qua MFA thông qua tác động đến header của một yêu cầu đơn giản. Trong trường hợp khác, kẻ tấn công có thể thay đổi header của user-agent và khiến Nhà cung cấp danh tính xác định sai giao thức.
MFA ngày càng trở thành mục tiêu của tin tặc
Khi nhiều tổ chức phụ thuộc hơn vào việc sử dụng đám mây để làm việc tại nhà do đại dịch COVID-19, MFA đang trở thành “lớp bảo mật bắt buộc phải có” để bảo vệ các môi trường này khỏi vô số các mối đe dọa.
“Nhân viên bắt đầu truy cập các ứng dụng của công ty từ các thiết bị cá nhân không được quản lý. Và họ dành nhiều thời gian hơn trên các thiết bị của công ty ở nhà, đọc email hoặc truy cập các trang web tiềm ẩn nhiều rủi ro tấn công”.
Tuy nhiên sự phụ thuộc nhiều hơn vào MFA cũng có nghĩa là tính năng này là công cụ hấp dẫn kẻ xấu tìm cách xâm nhập mạng công ty. Điều này có nghĩa là các tổ chức phải bổ sung các biện pháp bảo vệ khác để giảm thiểu rủi ro và các cuộc tấn công, chẳng hạn như kết hợp MFA và khả năng hiển thị mối đe dọa vào các môi trường đám mây an toàn.
Thật vậy, đây không phải là lần đầu tiên kẻ tấn công khai thác việc sử dụng MFA trong Office 365. Các nhà nghiên cứu tại Cofense đã quan sát thấy một chiến dịch lừa đảo vào tháng 5 cũng vượt qua MFA trong dịch vụ cộng tác đám mây để truy cập dữ liệu của nạn nhân được lưu trữ trên đám mây. Chiến thuật đó đã tận dụng khuôn khổ OAuth2 và giao thức OpenID Connect (OIDC) và sử dụng liên kết SharePoint độc hại để lừa người dùng cấp quyền cho một ứng dụng giả mạo.
Gần đây hơn, Microsoft 365 cũng phải đối mặt một cuộc tấn công lừa đảo khác sử dụng một kỹ thuật mới để sử dụng API xác thực nhằm xác thực thông tin đăng nhập Office 365 của nạn nhân.
Theo Threatpost