MFA 绕过漏洞使 Microsoft 365 受到攻击

WS-Trust中存在多年的漏洞可被利用来攻击其他服务，如Azure和Visual Studio。

Proofpoint的研究人员说，微软基于云的办公室生产力平台Microsoft 365使用的多因素身份验证系统中的漏洞为黑客通过绕过安全系统访问云应用程序打开了大门。

这些漏洞存在于在启用了WS-Trust并与Microsoft 365（以前称为Office 365）一起使用的云环境中实现WS-Trust规范的过程。WS-Trust是 OASIS 标准，提供了WS-Security和用于更新和验证安全令牌，代理信任关系-安全消息交换体系结构的一部分。

结构化信息标准促进组织（OASIS）是一个非盈利性联盟，致力于促进安全性的开放标准。

研究人员说，问题在于WS-Trust是一种“固有的不安全协议”，并且Microsoft身份提供商（IDP）实施了带有各种漏洞的规范。

“由于Microsoft 365会话登录的设计方式，攻击者可以获得对目标帐户的完全访问权限（包括邮件，文件，联系人，数据等），” Proofpoint的Cloud Access Security Broker的高级产品营销经理Itir Clarke，在周二在线发布的报告中。“此外，这些漏洞还可以用于访问Microsoft提供的各种其他云服务，包括生产和开发环境（例如Azure和Visual Studio）。”

她说，微软对该标准的实施为攻击者提供了多种方法来绕过MFA和访问其云服务，从而为各种攻击铺平了道路-包括实时网络钓鱼，通道劫持和使用旧协议。

她写道：“在某些情况下，攻击者可能通过简单的请求标头操纵来欺骗一个IP地址以绕过MFA。” Clarke说，在另一种情况下，攻击者可能会更改用户代理标头，并导致身份提供者错误地识别协议。

“在所有情况下，由于漏洞利用已从传统协议转移到现代协议，因此Microsoft将连接记录为’现代身份验证’。在不了解情况和所涉及的风险的情况下，监视租户的管理员和安全专业人员将看到通过现代身份验证建立的连接。”

Proofpoint表示，他们测试了许多IDP解决方案，发现了那些容易受到攻击的问题，并缓解了这些问题。

Proofpoint说，WS-Trust协议为攻击者利用Microsoft365云服务进行多种攻击场景打开了大门。一种是通过简单的请求头操作欺骗IP地址以绕过MFA。

Clarke写道，另一种情况是更改导致IDP错误标识协议的用户代理标头，并认为该协议正在使用现代身份验证。

MFA，一个不断增长的目标

随着许多组织更多地依赖于使用云因是因为增加的工作在家情景COVID-19大流行，MFA正在成为一个“必须具备的安全层”，以保护从这些环境中无数的威胁已经冒出向上，Clarke指出。

她写道：“员工开始从个人和不受管理的设备访问公司应用程序。” “他们开始在家里花更多时间在公司设备上，阅读可能有害的个人电子邮件，或浏览有风险的网站。”

Clarke补充说，对MFA的依赖增加也意味着，对于威胁行为者来说，该功能作为进入企业网络的一种方式更具吸引力，这使得缓解影响MFA的漏洞对安全至关重要。她说，这可能意味着组织必须添加其他保护措施来减轻风险和攻击，例如将MFA和威胁可见性结合起来以保护云环境。

事实上，Proofpoint发现的漏洞并不是攻击者第一次利用Office365中的MFA。Cofense的研究人员在5月份观察到了一场网络钓鱼活动，该活动也绕过了云协作服务中的MFA，以访问存储在云中的受害者数据。该策略利用OAuth2框架和OpenID Connect(OIDC)协议，并使用恶意SharePoint链接诱骗用户授予对流氓应用程序的权限。

在本周的最近一次，Microsoft 365 还面临另一种网络钓鱼攻击-该攻击使用一种新技术来利用受害者的身份验证API实时验证受害者的Office 365凭据-当他们进入登录页面时。