Błędy w usłudze MFA umożliwiające jej obejście i przeprowadzenie ataku na platformę Microsoft 365 i nie tylko

Winny WS-Trust

WS-Trust to standard OASIS, który zapewnia rozszerzenia dla WS-Security i służy do odnawiania i sprawdzania poprawności tokenów bezpieczeństwa, pośredniczenia w relacjach zaufania – część bezpiecznej architektury wymiany komunikatów. Jest on włączony i używany w Microsoft 365, dawniej zwanym Office 365.

Według badaczy z Proofpoint, błędy w systemie uwierzytelniania wieloskładnikowego używanym przez platformę Microsoft 365, opartą na chmurze, otworzyły hakerom dostęp do aplikacji w chmurze poprzez obejście tego systemu zabezpieczeń. Stwierdzili, że problem polega na tym, że WS-Trust jest „z natury niezabezpieczonym protokołem” i że dostawcy tożsamości firmy Microsoft (IDP) zaimplementowali specyfikację z różnymi błędami.

Itir Clarke, starszy menedżer ds. Marketingu produktów w firmie Proofpoint Cloud Access Security Broker, w opublikowanym we wtorek raporcie stwierdził, że „ze względu na sposób, w jaki zaprojektowano logowanie sesji Microsoft 365, osoba atakująca może uzyskać pełny dostęp do konta ofiary ataku (w tym poczty, plików, kontaktów, danych i nie tylko)”

„Co więcej, luki mogą być również wykorzystane do uzyskania dostępu do różnych innych usług w chmurze oferowanych przez firmę Microsoft, w tym środowisk produkcyjnych i programistycznych, takich jak Azure i Visual Studio”.

Powiedział także, że implementacja standardu przez Microsoft daje atakującym wiele sposobów na ominięcie usługi MFA i uzyskanie dostępu do jej usług w chmurze, torując drogę dla różnych ataków, w tym phishingu w czasie rzeczywistym, przechwytywania kanałów i korzystania ze starszych protokołów.

„W niektórych przypadkach osoba atakująca może sfałszować adres IP, aby ominąć usługę MFA poprzez prostą manipulację nagłówkiem żądania” – napisał. Clarke, dodatkowo powiedział, że w innym przypadku osoba atakująca może zmienić nagłówek agenta użytkownika i spowodować, że dostawca tożsamości błędnie zidentyfikuje protokół.

„We wszystkich przypadkach firma Microsoft rejestruje połączenie jako „nowoczesne uwierzytelnianie” ze względu na zmianę protokołu ze starszego na nowoczesny. Nieświadomi sytuacji i związanego z nią ryzyka administratorzy i specjaliści ds. Bezpieczeństwa monitorujący Tenant postrzegaliby połączenie jako nawiązane za pośrednictwem nowoczesnego uwierzytelniania”.

Proofpoint przetestował szereg rozwiązań IDP i wskazał te, które były podatne.

Jakie zagrożenia może powodować luka?

Protokół WS-Trust otwiera drzwi do wykorzystania usług w chmurze Microsoft 365 w wielu scenariuszach ataków. Jednym z nich jest fałszowanie adresu IP w celu ominięcia usługi MFA za pomocą prostej manipulacji nagłówkiem żądania.

Innym zagrożeniem jest zmiana nagłówka agenta użytkownika, która spowodowała, że IDP błędnie zidentyfikował protokół i sądził, że używa nowoczesnego uwierzytelniania, napisał Clarke.

MFA staje się celem ataków i powinniśmy się bardziej zabezpieczyć

Ponieważ wiele organizacji polega coraz bardziej na korzystaniu z chmury ze względu na zwiększone zapotrzebowanie na pracę zdalną, MFA staje się „niezbędną warstwą bezpieczeństwa”, aby chronić te środowiska przed niezliczonymi zagrożeniami, które stają się coraz bardziej ryzykowne” – zauważył Clarke. „Pracownicy zaczęli uzyskiwać dostęp do aplikacji firmowych z urządzeń osobistych i niezarządzanych” – napisał. „Zaczęli spędzać więcej czasu na swoich firmowych urządzeniach w domu, czytając potencjalnie złośliwe osobiste e-maile lub przeglądając ryzykowne strony internetowe”.

Zwiększona zależność od usługi MFA oznacza również, że funkcja ta jest jeszcze bardziej atrakcyjna dla cyberprzestepców do wykorzystania jako dostęp do sieci korporacyjnych, co sprawia, że moniotorowanie luk w zabezpieczeniach, które mają wpływ na MFA, ma krytyczne znaczenie dla bezpieczeństwa. Może to oznaczać, że organizacje muszą dodać inne zabezpieczenia, aby ograniczyć ryzyko i ataki, takie jak połączenie MFA i widoczności zagrożeń w celu zabezpieczenia środowisk chmurowych.