微軟ADFS漏洞允許攻擊者繞過MFA安全措施

Okta REX安全工程師Andrew Lee發現，微軟Active Directory聯合身份驗證服務（ADFS）中的一個漏洞（CVE-2018-8340）允許一個帳戶的第二個身份驗證因素用於組織中的所有其他帳戶。通過一些簡單的網路釣魚利用該漏洞，攻擊者可能會破壞屬於其他員工或管理人員的帳戶，並通過各種公司資源訪問敏感信息。

漏洞（CVE-2018-8340）以及其可能遭遇的攻擊

「許多組織依賴ADFS來管理整個企業的身份和資源，ADFS充當組織看門人的角色，」Lee解釋道，「ADFS代理是ADFS的擴展，通過將第二身份驗證因素委託給MFA提供程序，使其能夠與該提供程序進行互操作。MFA提供商包括微軟本身和第三方供應商，如Okta，Gemalto，Duo，Authlogics，RSA和SecureAuth。」

本次發現的漏洞源於協議檢查憑證和第二個身份驗證因素的有效性，而非所提供的第二個因素是否與登錄的實際帳戶相關聯。

Leed說，「首先，攻擊者使用兩個瀏覽器，分別在AD登錄頁面上提交Alice和Bob的憑據。攻擊者觀察來自AD伺服器的響應，並找到與每個用戶的第二因素身份驗證流程、MFA上下文和MFA令牌相關聯的信息。」

「回復也提供了新的會話cookie。通過將Bob的MFA 上下文與Alice的會話cookie相結合，攻擊者可以使用Bob的第二個身份驗證因素和MFA令牌以Alice身份進行登錄。攻擊者不需要Alice的第二個身份驗證因素來登錄她的帳戶——Alice的第二個身份驗證因素即使帳戶遭到入侵，也可能仍是安全的。」

通過利用此漏洞執行成功攻擊的最明顯的人是擁有自己合法帳戶但不懷好意的內部人員。

攻擊者還可能首先危及到合法所有者尚未註冊第二個身份驗證因素的帳戶（攻擊者可以在網路釣魚登錄憑據後執行此操作），或者可以讓IT工程師幫助重置第一個帳戶的第二個身份驗證因素。這些攻擊方案更容易使用低許可權的帳戶進行攻擊，一旦訪問成功，攻擊者就可以利用此漏洞輕易危害高許可權帳戶。

現在怎麼辦？

Okta已嘗試在其ADFS代理中進行一次緩解，但事實證明它並不能與所有的ADFS環境兼容。他們還向微軟報告了該漏洞，緊接著該公司於今天也發布了最新補丁。

Lee建議使用ADFS MFA代理設置ADFS的組織應該考慮更新微軟ADFS。微軟的補丁應該在不對ADFS代理進行任何更新的情況下修復這一漏洞。Okta不必在其ADFS代理中實現更改，但建議其他ADFS代理的用戶與供應商需要核實是否更新它們。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！