خبر

  • تک بورد - سوء استفاده PoC برای اشکال Azure AD brute-force منتشر شد-در اینجا چکار باید کرد

    سوء استفاده PoC برای اشکال Azure AD brute-force منتشر شد-در اینجا چکار باید کرد
    22 روز و 8 ساعت قبل

    مایکروسافت معتقد است که این یک خطر امنیتی نیست ، اما به دنبال راه حلی است. به سوء استفاده هر کسی را قادر می سازد تا هم سرور نام کاربری و هم رمز عبور را در سرورهای آسیب پذیر Azure انجام دهد. اگرچه مایکروسافت در ابتدا مکانیسم Autologon را یک انتخاب "طراحی" نامیده بود ، اما به نظر می رسد ، این شرکت اکنون روی یک راه حل کار می کند.

    اسکریپت PoC در GitHub منتشر شد

    خواندن بیشتر

    نقص بی رحمانه گذرواژه جدید Azure Active Directory برطرف نمی شود

    دیروز ، سوء استفاده از PoC "پاشش رمز" برای Azure منتشر شد اکتیو دایرکتوری نقصی در GitHub ایجاد می کند. اسکریپت PowerShell ، کمی بیش از 100 خط کد ، عمدتا بر اساس کارهای قبلی دکتر Nestori Syynimaa ، محقق ارشد امنیتی اصلی در Secureworks است.

    POC فقط برای اسپری SSO ظاهر شد https://t.co/Ly2AHsR8Mr

    - rvrsh3ll (@424f424f) 29 سپتامبر 2021

    طبق واحد تهدید (Secureworks 'Counter Threat Unit) (CTU) ، از نقص استفاده می شود ، مانند تأیید گذرواژه کاربران از طریق بی رحمی ، بسیار آسان است ، همانطور که توسط PoC نشان داده شده است. اما ، سازمان هایی که از سیاست های دسترسی مشروط و احراز هویت چند عاملی (MFA) استفاده می کنند ، ممکن است از مسدود کردن دسترسی به خدمات از طریق احراز هویت نام کاربری/رمز عبور سود ببرند. Syynimaa در مصاحبه ای با Ars به ​​Ars می گوید: "بنابراین ، حتی وقتی بازیگر تهدید قادر به دریافت رمز عبور کاربر است ، ممکن است [نتواند] از آن برای دسترسی به داده های سازمان استفاده کند.

    سازمانها برای محافظت از خود چه کاری می توانند انجام دهند؟

    اگرچه پس از افشای Secureworks در این هفته علنی شد ، اما به نظر می رسد مشکل Azure AD brute-forceing قبلاً در میان برخی از محققان ، از جمله محقق Dirk-jan ، شناخته شده بود:

    به اندازه کافی جالب است که من این مسئله را در دسامبر 2020 بهmsftsecresponse گزارش کردم ، آخرین چیزی که شنیده ام این است که هنوز برای رفع مشکل در حال توسعه است. بسیار عجیب است که سایر افراد در مورد یک موضوع رای متفاوتی می گیرند. https://t.co/2EtfEIM5BE

    -Dirk-jan (_dirkjan) 28 سپتامبر 2021

    مایکروسافت به Ars گفت که تکنیک نشان داده شده توسط Secureworks آسیب پذیری امنیتی محسوب نمی شود و اینکه اقدامات در حال حاضر برای محافظت از کاربران Azure در حال انجام است:

    تبلیغات

    "ما این ادعاها را بررسی کرده ایم و مشخص شده است که تکنیک توصیف شده شامل آسیب پذیری امنیتی نمی شود و حفاظت هایی برای اطمینان از ایمن ماندن مشتریان در نظر گرفته شده است. سخنگوی مایکروسافت به Ars گفت. پس از بررسی نوشتن اولیه Secureworks ، مایکروسافت به این نتیجه رسید که حفاظت در برابر حملات وحشیانه در حال حاضر در نقاط پایانی توصیف شده اعمال می شود و در نتیجه از کاربران در برابر چنین حملاتی محافظت می کند.

    علاوه بر این ، مایکروسافت می گوید ، توکن هایی که توسط WS-Trust usernamemixed صادر شده است. endpoint دسترسی به داده ها را ارائه نمی دهد و برای به دست آوردن نشانه های واقعی باید به Azure AD ارائه شود. مایکروسافت در بیانیه خود به Ars می گوید: "همه چنین درخواست هایی برای نشانه های دسترسی توسط دسترسی مشروط ، احراز هویت چند عاملی Azure AD ، حفاظت هویت Azure AD محافظت می شوند و در ورود به سیستم وارد می شوند."

    اما ، Secureworks همچنین اطلاعات دیگری را که پس از انتشار تجزیه و تحلیل خود در این هفته از مایکروسافت دریافت کرد ، به اشتراک گذاشت و نشان داد که مایکروسافت در حال کار بر روی راه حلی است. Syynimaa به Ars گفت.

    معمار راه حل های امنیتی ، ناتان مک نالتی ، قبلاً گزارش داده است. مشاهده رویدادهای موفق ورود به سیستم در ورود به سیستم:

    کار شگفت انگیز از تیم Azure Identity!

    آنها قبلاً حسابرسی موفقیت آمیز برای نقطه پایانی WS-Trust MEX را به غیر اضافه کرده اند -ورود به سیستم ورود به سیستم (هنوز هیچ مشکلی وجود ندارد)

    Get-AzureADAuditSignI به نظر نمی رسد nLogs در Graph API (خبر خوب برای SIEM) نشان داده شود :) https://t.co/A130Uh7OeY

    - ناتان مک نالتی (NathanMcNulty) 29 سپتامبر 2021

    Azure AD همچنین دارای یک ویژگی "Smart Lockout" است که برای قفل کردن خودکار حساب هایی که برای مدت مشخصی در حال هدف قرار گرفتن هستند ، در صورت تشخیص تعداد زیادی از ورود به سیستم ، طراحی شده است.

    "هنگام قفل شدن ، پیام خطا همیشه" قفل "می شود ، صرف نظر از اینکه رمز عبور صحیح باشد یا خیر. به این ترتیب ، به نظر می رسد که این ویژگی به طور م brثر مانع از اعمال ناگهانی می شود ، "Syynimaa با Ars به ​​اشتراک گذاشت." با این حال ، پاشش رمز عبور ، که در آن چندین حساب با چند رمز عبور هدف قرار می گیرد ، به احتمال زیاد توسط Smart Lockout مسدود نمی شود. "

    توصیه Syynimaa به سازمان هایی که به دنبال راه حلی در برابر این حمله هستند این است که تعدادی از احراز هویت های ناموفق را قبل از راه اندازی Smart Lockout و قفل کردن حساب ها تنظیم کنند. "تنظیم مقدار کم (مانند 3) به جلوگیری از پاشش رمز عبور نیز کمک می کند ، اما همچنین ممکن است در حین استفاده معمولی روزانه ، حسابها را خیلی راحت قفل کند. "تنظیم زمان قفل شدن یک گزینه دیگر است.





خبرهای دیگر از فناوری اطلاعات