Bugs na autenticação de multi-fator expôs Microsoft 365 a ataques

Bugs no sistema de autenticação multifatorial usado pela plataforma de produtividade de escritório baseada em nuvem da Microsoft, Microsoft 365, abriu a porta para os hackers acessarem aplicativos em nuvem através de um desvio do sistema de segurança, de acordo com pesquisadores da Proofpoint.

As falhas existem na implementação do que é chamado de especificação WS-Trust em ambientes de nuvem onde WS-Trust é habilitado e usado com Microsoft 365, anteriormente chamado de Office 365. WS-Trust é um padrão OASIS que fornece extensões para WS-Security e é usado para renovar e validar tokens de segurança, intermediando relacionamentos de confiança – parte de uma arquitetura de troca de mensagens segura.

A Organização para o Avanço de Padrões de Informação Estruturada (OASIS) é um consórcio sem fins lucrativos que promove padrões abertos de segurança.

O problema, disseram os pesquisadores, é que o WS-Trust é um “protocolo inerentemente inseguro” e que os Microsoft Identity Providers (IDPs) implementaram as especificações com vários bugs.

“Devido à forma como o login de sessão do Microsoft 365 é projetado, um invasor pode obter acesso total à conta do alvo (incluindo e-mail, arquivos, contatos, dados e muito mais)”, Itir Clarke, gerente sênior de marketing de produto do Cloud Access Security Broker da Proofpoint, em um relatório postado online na terça-feira. “Além disso, essas vulnerabilidades também podem ser usadas para obter acesso a vários outros serviços em nuvem fornecidos pela Microsoft, incluindo ambientes de produção e desenvolvimento, como Azure e Visual Studio.”

Ela disse que a implementação do padrão pela Microsoft oferece aos invasores várias maneiras de contornar o MFA e acessar seus serviços em nuvem, abrindo caminho para vários ataques – incluindo phishing em tempo real, sequestro de canal e o uso de protocolos legados.

“Em alguns casos, um invasor pode falsificar [um] endereço IP para ignorar o MFA por meio de uma simples manipulação de cabeçalho de solicitação”, escreveu ela. Em outro caso, disse Clarke, um invasor pode alterar o cabeçalho do agente do usuário e fazer com que o Provedor de Identidade identifique incorretamente o protocolo.

“Em todos os casos, a Microsoft registra a conexão como ‘Autenticação Moderna’ devido ao pivotamento da exploração do protocolo legado para o moderno. Sem saber da situação e dos riscos envolvidos, os administradores e profissionais de segurança que monitoram o locatário veriam a conexão como feita por meio da autenticação moderna. ”

A Proofpoint disse que testou várias soluções IDP, descobriu aquelas que eram suscetíveis e mitigou os problemas.

O protocolo WS-Trust, disse a Proofpoint, abre a porta para invasores explorarem os serviços em nuvem do Microsoft 365 para vários cenários de ataque. Uma é falsificar um endereço IP para ignorar o MFA por meio de uma manipulação de cabeçalho de solicitação simples.

Outro caso seria alterar o cabeçalho do agente do usuário, fazendo com que o IDP identificasse incorretamente o protocolo e acreditasse que ele estava usando a Autenticação Moderna, escreveu Clarke.

MFA, uma meta crescente

Com muitas organizações confiando mais no uso da nuvem devido ao aumento dos cenários de trabalho em casa devido à pandemia de COVID-19, o MFA está se tornando uma “camada de segurança obrigatória” para proteger esses ambientes da miríade de ameaças que surgiram para cima, Clarke notou.

“Os funcionários começaram a acessar aplicativos corporativos em dispositivos pessoais e não gerenciados”, escreveu ela. “E eles começaram a passar mais tempo em seus dispositivos corporativos em casa, lendo e-mails pessoais potencialmente maliciosos ou navegando em sites arriscados.”

O aumento da confiança no MFA também significa, no entanto, que o recurso é ainda mais atraente para os agentes de ameaças explorarem como uma forma de entrar em redes corporativas, tornando a mitigação de vulnerabilidades que afetam o MFA crítica para a segurança, acrescentou Clarke. Isso pode significar que as organizações devem adicionar outras proteções para mitigar riscos e ataques, como combinar MFA e visibilidade de ameaças para proteger ambientes em nuvem, disse ela.

Na verdade, as falhas identificadas pelo Proofpoint não são a primeira vez que os invasores exploram o uso do MFA no Office 365. Pesquisadores da Cofense observaram uma campanha de phishing em maio que também contornou o MFA no serviço de colaboração em nuvem para acessar os dados das vítimas armazenados no nuvem. Essa tática aproveitou a estrutura OAuth2 e o protocolo OpenID Connect (OIDC) e usou um link malicioso do SharePoint para induzir os usuários a conceder permissões a um aplicativo não autorizado.

Mais recentemente, esta semana, o Microsoft 365 também enfrentou outro ataque de phishing – este usando uma nova técnica para usar APIs de autenticação para validar as credenciais do Office 365 das vítimas – em tempo real – conforme elas as inserem na página de destino.

Fonte: https://threatpost.com/flaws-in-microsoft-365s-mfa-access-cloud-apps/159240