تصور کنید تلاش نامحدودی برای حدس زدن نام کاربری و گذرواژه شخصی بدون گرفتار شدن وج">

خبر

  • تک بورد - نقص ناگهانی گذرواژه جدید Azure Active Directory برطرف نمی شود

    نقص ناگهانی گذرواژه جدید Azure Active Directory برطرف نمی شود
    28 روز و 19 ساعت قبل

    مایکروسافت به محققان می گوید که "توسط طرح". مثل روز سه شنبه پچ نیست.
    تصور کنید تلاش نامحدودی برای حدس زدن نام کاربری و گذرواژه شخصی بدون گرفتار شدن وجود دارد. این می تواند یک سناریوی ایده آل برای یک بازیگر تهدید مخفیانه ایجاد کند - اگر سرورهای سرور را بدون هیچ دیدی در اقدامات مهاجم رها کنید ، چه برسد به احتمال مسدود کردن آنها.

    یک اشکال تازه کشف شده در پیاده سازی Microsoft Azure's Active Directory (AD) به شما این امکان را می دهد: تک فاکتور اجباری اجباری اعتبارنامه AD کاربر. و این تلاشها به سرور وارد نشده است.

    رمز عبور نامعتبر است ، دوباره امتحان کنید و دوباره ...

    در ژوئن سال جاری ، محققان واحد تهدید Secureworks ( CTU) یک نقص در پروتکل مورد استفاده توسط سرویس Azure Active Directory Seamless Single Sign-On پیدا کرد.

    "این نقص به بازیگران تهدید اجازه می دهد تا بدون ایجاد علامت ، حملات بی رحمانه تک عاملی را علیه Azure Active Directory انجام دهند. در مورد رویدادهای مستأجر سازمان مورد نظر ، "محققان توضیح می دهند.

    در همان ماه ، Secureworks این نقص را به مایکروسافت گزارش داد که سپس این رفتار را تا ماه ژوئیه تأیید کرد اما تصمیم گرفت" توسط طراحی "

    در این ماه ، بر اساس ارتباطی که Ars با یک منبع به اشتراک گذاشته است ، Secureworks به مشتریان خود در مورد این نقص هشدار می دهد.

    Secureworks به مشتریان خود در مورد نقص Active Directory Azure ایمیل می زند. بزرگنمایی/Secureworks به مشتریان خود در مورد نقص Active Directory Azure ایمیل می زند. Ax Sharma

    سرویس SSO بدون درز Azure AD به طور خودکار کاربران را امضا می کند در دستگاه های شرکتی خود ، متصل به شبکه محل کار خود. با فعال کردن SSO بدون درز ، کاربران برای ورود به Azure AD مجبور نخواهند شد که گذرواژه خود یا معمولاً حتی نام کاربری خود را تایپ کنند. مایکروسافت توضیح می دهد: "این ویژگی دسترسی آسان کاربران را به برنامه های مبتنی بر ابر شما بدون نیاز به اجزای اضافی در محل فراهم می کند.

    تبلیغات

    اما مانند بسیاری از سرویس های Windows ، سرویس SSO بدون درز به پروتکل Kerberos متکی است. برای احراز هویت "در طول پیکربندی SSO بدون درز ، یک شیء رایانه ای به نام AZUREADSSOACC در دامنه Active Directory (AD) داخلی ایجاد می شود و نام اصلی سرویس (SPN) به آن اختصاص داده می شود https://autologon.microsoftazuread-sso.com ،" توضیح CTU محققان "این نام و هش رمز عبور شیء رایانه ای AZUREADSSOACC به Azure AD ارسال می شود."

    نقطه پایانی اتولوگون زیر به نام "windowstransport" بلیط های Kerberos را دریافت می کند. و ، SSO بدون درز به طور خودکار و بدون هیچ گونه تعامل با کاربر ایجاد می شود:

    https://autologon.microsoftazuread-sso.com//winauth/trust/2005/windowstransport

    گردش کار احراز هویت با تصویر زیر نشان داده شده است:

    تظاهرات پروتکل Kerberos. بزرگنمایی/نمایش پروتکل Kerberos.Secureworks

    علاوه بر این ، یک نقطه پایانی usernamemixed در .../winauth/trust/وجود دارد 2005/usernamemixed که نام کاربری و رمز عبور را برای احراز هویت تک عاملی می پذیرد. برای احراز هویت یک کاربر ، یک فایل XML حاوی نام کاربری و رمز عبور وی به این نقطه پایانی usernamemixed ارسال می شود.

    فایل XML حاوی نام کاربری و رمز عبور. بزرگنمایی/فایل XML حاوی نام کاربری و رمز عبور. Secureworks

    گردش کار احراز هویت برای این نقطه پایانی بسیار ساده تر است:

    فرایند ورود نام کاربری/رمز عبور خودکار. بزرگنمایی/فرایند ورود نام کاربری/رمز عبور. Secureworks

    و این جایی است که نقص وارد می شود. Autologon تلاش می کند کاربر به Azure AD بر اساس اعتبار ارائه شده. اگر نام کاربری و رمز عبور مطابقت داشته باشند ، احراز هویت موفقیت آمیز است و سرویس Autologon با خروجی XML حاوی یک توکن احراز هویت ، معروف به DesktopSSOToken ، که به Azure AD ارسال می شود ، پاسخ می دهد. اما ، اگر احراز هویت ناموفق باشد ، یک پیام خطا ایجاد می شود.

    این کدهای خطا ، که برخی از آنها به درستی ثبت نشده اند ، می توانند در انجام حملات ناشناخته ناشناخته به مهاجم کمک کنند.

    Advertisement کدهای خطا هنگام عدم تأیید هویت Autologon ایجاد می شوند. بزرگنمایی/کدهای خطا که در صورت عدم احراز هویت Autologon ایجاد می شوند. Secureworks

    " رویدادهای احراز هویت موفق ، ورود به سیستم ورود به سیستم را ایجاد می کند .. . با این حال ، احراز هویت autologon [مرحله] به Azure AD ثبت نشده است. این حذف به بازیگران تهدید اجازه می دهد تا از نقطه پایانی usernamemixed برای حملات ناگهانی نیروی ناگهانی استفاده کنند. " کدهای مورد استفاده در جریان کار احراز هویت Azure AD در زیر نشان داده شده است:

    AADSTS50034 کاربر وجود ندارد AADSTS50053 کاربر وجود دارد و نام کاربری و رمز عبور صحیح وارد شده است ، اما حساب قفل شده است AADSTS50056 کاربر وجود دارد اما در آن رمز عبور ندارد Azure AD AADSTS50126 کاربر وجود دارد ، اما رمز اشتباه وارد شده است AADSTS80014 کاربر وجود دارد ، ب از حداکثر زمان تأیید اعتبار عبور کرده است

    محققان Secureworks می گویند که اکثر ابزارهای امنیتی و اقدامات متقابل با هدف شناسایی حملات پاشش نیروی ناگهانی یا رمز عبور ، بر روی گزارشات ورود به سیستم متکی هستند و به دنبال کدهای خطای خاص هستند. به همین دلیل است که عدم مشاهده در تلاشهای ناموفق ورود به سیستم یک مشکل است.

    "تجزیه و تحلیل [ما] نشان می دهد که سرویس اتولوگون با خدمات فدراسیون Azure Active Directory Services (AD FS) اجرا می شود ،" توضیح دهید محققان CTU "مستندات Microsoft AD FS غیر فعال کردن دسترسی به نقطه پایانی windowstransport را توصیه می کند. با این حال ، این دسترسی برای SSO بدون درز لازم است. مایکروسافت نشان می دهد که نقطه پایانی usernamemixed فقط برای مشتریان قدیمی Office که قبل از به روزرسانی Office 2013 مه 2015 مورد نیاز است ، مورد نیاز است."





خبرهای دیگر از فناوری اطلاعات