Vulnerabilità in ambienti cloud, come gli hacker superano l’MFA

A essere preso di mira è Microsoft 365. Anche se queste vulnerabilità potrebbero essere utilizzate per accedere ad altri servizi cloud forniti da Microsoft.

Previsioni futuro cloud Reply

Proofpoint scopre vulnerabilità nell’implementazione dell’autenticazione multi-fattore (MFA) in ambienti cloud dove è abilitato WS-Trust.

Per il modo in cui è progettato il login di Microsoft 365, un hacker potrebbe ottenere l’accesso completo all’account della persona presa di mira (compresi posta, file, contatti, dati e altro ancora). Inoltre, queste vulnerabilità potrebbero essere utilizzate anche per accedere ad altri servizi cloud forniti da Microsoft, compresi ambienti di produzione e sviluppo come Azure e Visual Studio.

Vulnerabilità in ambienti cloud

Le vulnerabilità erano il risultato del “protocollo intrinsecamente insicuro” (WS-Trust), come descritto da Microsoft.
Spesso l’aggressore poteva falsificare il suo indirizzo IP per bypassare l’MFA semplicemente modificando il suo header. In un altro caso la variazione dell’header a livello di user ha indotto l’IDP a identificare erroneamente il protocollo e a credere di utilizzare un’autenticazione moderna.

In tutti i casi, Microsoft registra la connessione come “Modern Authentication” a causa dell’exploit che passa dal protocollo legacy a quello moderno. Ignari della situazione e dei rischi, amministratori e professionisti della sicurezza addetti al monitoraggio della sessione vedrebbero la connessione come effettuata tramite Modern Authentication.

Vulnerabilità in ambienti cloud

Una volta scoperte le vulnerabilità possono essere sfruttate in modo automatizzato. Sono difficili da rilevare e possono anche non apparire sui registri degli eventi, non lasciando traccia o indizi della loro attività. Dal momento che l’MFA come misura preventiva può essere bypassata, diventa necessario mettere in atto ulteriori misure di sicurezza sotto forma di rilevamento delle compromissioni dell’account e successivo rimedio.

In occasione della propria user conference virtuale Proofpoint Protect, Proofpoint ha annunciato le vulnerabilità.
Molto probabilmente, si tratta di vulnerabilità che esistono da anni. I ricercatori Proofpoint hanno testato diverse soluzioni di Identity Provider (IDP), identificato quelle potenzialmente vulnerabili e risolto i problemi di sicurezza.