I ricercatori di Proofpoint hanno scoperto vulnerabilità critiche nell’implementazione MFA in ambienti cloud dove è abilitato WS-Trust.
Si tratta di una criticità che potrebbe consentire agli aggressori di bypassare il sistema di autenticazione multi-fattore e di accedere alle applicazioni cloud. Tra queste Microsoft 365. Per il modo in cui è progettato il login di Microsoft 365, un hacker potrebbe ottenere l’accesso completo all’account della persona presa di mira.
Inoltre, queste vulnerabilità potrebbero essere utilizzate anche per accedere ad altri servizi cloud forniti da Microsoft (Azure e Visual Studio).
Queste criticità erano il risultato del “protocollo intrinsecamente insicuro” (WS-Trust), come descritto da Microsoft in combinazione con vari bug nella sua implementazione da parte degli IDP.
Vulnerabilità Microsoft 365
In alcuni casi un aggressore poteva falsificare il suo indirizzo IP per bypassare l’MFA semplicemente modificando il suo header. In un altro caso la variazione dell’header a livello di user ha indotto l’IDP a identificare erroneamente il protocollo e a credere di utilizzare un’autenticazione moderna.
In tutti i casi, Microsoft registra la connessione come “Modern Authentication” a causa dell’exploit che passa dal protocollo legacy a quello moderno. Ignari della situazione e dei rischi, amministratori e professionisti vedrebbero la connessione come effettuata tramite Modern Authentication.
Le vulnerabilità richiedono un’attività di ricerca ma, una volta scoperte possono essere sfruttate in modo automatizzato. Sono difficili da rilevare e possono anche non apparire sui registri degli eventi, non lasciando traccia o indizi della loro attività. Dal momento che l’MFA come misura preventiva può essere bypassata, diventa necessario mettere in atto ulteriori misure di sicurezza sotto forma di rilevamento delle compromissioni dell’account e successivo rimedio.
Vulnerabilità Microsoft 365
Le vulnerabilità sono state annunciate da Proofpoint in occasione della propria user conference virtuale Proofpoint Protect. Molto probabilmente, si tratta di vulnerabilità che esistono da anni. I ricercatori Proofpoint hanno testato diverse soluzioni di Identity Provider (IDP), identificato quelle potenzialmente vulnerabili e risolto i problemi di sicurezza.