Microsoft 365: Multi-Faktor-Authentifizierung ausgehebelt

[English]Das hört sich nicht gerade gut an. Neu entdeckte  Schwachstellen in Microsoft 365 ermöglichen es, die Multi-Faktor-Authentifizierung zu umgehen. Das haben Sicherheitsforscher von Proofpoint gerade veröffentlicht.


Anzeige

Sicherheitsforscher von Proofpoint  haben kürzlich kritische Schwachstellen bei der Implementierung der Multi-Faktor-Authentifizierung (MFA) in Cloud-Umgebungen, in denen WS-Trust aktiviert ist, entdeckt. Die Schwachstellen wurden von Proofpoint angekündigt und auf der virtuellen Benutzerkonferenz Proofpoint Protect demonstriert. Höchstwahrscheinlich bestehen diese Schwachstellen bereits seit Jahren. Die Sicherheitsforscher haben mehrere Identity Provider (IDP)-Lösungen getestet, die anfälligen Lösungen identifiziert und die Sicherheitsprobleme gelöst.

Diese Schwachstellen könnten es Angreifern ermöglichen, ein Multi-Faktor-Authentifizierung (MFA) zu umgehen. Dies ermöglicht es, auf Cloud-Anwendungen zuzugreifen, die das Protokoll verwenden. Das betrifft laut Proofpoing insbesondere Microsoft 365.

Microsoft 365 MFA-Authentifizierung aushebeln

Die Sicherheitsforscher schreiben, dass Aufgrund der Art und Weise, wie die Microsoft-365-Sitzungsanmeldung konzipiert ist, ein Angreifer vollen Zugriff auf das Konto des Ziels erhalten könnte. Das schließt E-Mails, Dateien, Kontakte, Daten und mehr ein. Darüber hinaus könnten diese Schwachstellen auch genutzt werden, um Zugriff auf verschiedene andere von Microsoft bereitgestellte Cloud-Dienste zu erhalten, darunter Produktions- und Entwicklungsumgebungen wie Azure und Visual Studio.

Die Schwachstellen ergaben sich aus dem “inhärent unsicheren Protokoll” (WS-Trust), wie es von Microsoft beschrieben wurde, in Kombination mit verschiedenen Fehlern in seiner Implementierung durch die IDPs. In einigen Fällen konnte ein Angreifer seine IP-Adresse fälschen, um MFA über eine einfache Anfrage-Header-Manipulation zu umgehen. In einem anderen Fall führte die Änderung des User-Agent-Headers dazu, dass der IDP das Protokoll falsch identifizierte und glaubte, er benutze Modern Authentication. In allen Fällen protokolliert Microsoft die Verbindung als “Moderne Authentifizierung”, da der Exploit vom alten zum modernen Protokoll wechselt. In Unkenntnis der Situation und der damit verbundenen Risiken würden die Administratoren und Sicherheitsexperten, die den Tenant überwachen, die Verbindung als über “Modern Authentication” hergestellt ansehen.

Schwachstellen erfordern einige Forschung, aber sobald sie entdeckt sind, können sie automatisiert ausgenutzt werden.  Sie sind schwer zu entdecken und erscheinen möglicherweise nicht einmal in den Ereignisprotokollen und hinterlassen keine Spuren oder Hinweise auf ihre Aktivität. Da MFA als Präventivmaßnahme umgangen werden kann, wird es notwendig, zusätzliche Sicherheitsmaßnahmen in Form von Erkennung und Behebung von Kontoverletzungen zu ergreifen. Weitere Details lassen sich im Proofpoint-Artikel nachlesen.


Anzeige


Dieser Beitrag wurde unter Cloud, Office, Sicherheit abgelegt und mit Microsoft 365, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Microsoft 365: Multi-Faktor-Authentifizierung ausgehebelt


  1. Anzeige
  2. Phadda sagt:

    Zur Info WS-TRUST > https://docs.microsoft.com/en-us/power-platform/important-changes-coming

    Effective October 2020, the authentication protocol will be retired for all new tenants.
    Effective April 2021, the authentication protocol will be retired for all new environments within a tenant.
    Effective April 2022, the authentication protocol will be retired for all new and existing environments within a tenant.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.