[English]Das hört sich nicht gerade gut an. Neu entdeckte Schwachstellen in Microsoft 365 ermöglichen es, die Multi-Faktor-Authentifizierung zu umgehen. Das haben Sicherheitsforscher von Proofpoint gerade veröffentlicht.
Anzeige
Sicherheitsforscher von Proofpoint haben kürzlich kritische Schwachstellen bei der Implementierung der Multi-Faktor-Authentifizierung (MFA) in Cloud-Umgebungen, in denen WS-Trust aktiviert ist, entdeckt. Die Schwachstellen wurden von Proofpoint angekündigt und auf der virtuellen Benutzerkonferenz Proofpoint Protect demonstriert. Höchstwahrscheinlich bestehen diese Schwachstellen bereits seit Jahren. Die Sicherheitsforscher haben mehrere Identity Provider (IDP)-Lösungen getestet, die anfälligen Lösungen identifiziert und die Sicherheitsprobleme gelöst.
Diese Schwachstellen könnten es Angreifern ermöglichen, ein Multi-Faktor-Authentifizierung (MFA) zu umgehen. Dies ermöglicht es, auf Cloud-Anwendungen zuzugreifen, die das Protokoll verwenden. Das betrifft laut Proofpoing insbesondere Microsoft 365.
Die Sicherheitsforscher schreiben, dass Aufgrund der Art und Weise, wie die Microsoft-365-Sitzungsanmeldung konzipiert ist, ein Angreifer vollen Zugriff auf das Konto des Ziels erhalten könnte. Das schließt E-Mails, Dateien, Kontakte, Daten und mehr ein. Darüber hinaus könnten diese Schwachstellen auch genutzt werden, um Zugriff auf verschiedene andere von Microsoft bereitgestellte Cloud-Dienste zu erhalten, darunter Produktions- und Entwicklungsumgebungen wie Azure und Visual Studio.
Anzeige
Die Schwachstellen ergaben sich aus dem "inhärent unsicheren Protokoll" (WS-Trust), wie es von Microsoft beschrieben wurde, in Kombination mit verschiedenen Fehlern in seiner Implementierung durch die IDPs. In einigen Fällen konnte ein Angreifer seine IP-Adresse fälschen, um MFA über eine einfache Anfrage-Header-Manipulation zu umgehen. In einem anderen Fall führte die Änderung des User-Agent-Headers dazu, dass der IDP das Protokoll falsch identifizierte und glaubte, er benutze Modern Authentication. In allen Fällen protokolliert Microsoft die Verbindung als "Moderne Authentifizierung", da der Exploit vom alten zum modernen Protokoll wechselt. In Unkenntnis der Situation und der damit verbundenen Risiken würden die Administratoren und Sicherheitsexperten, die den Tenant überwachen, die Verbindung als über "Modern Authentication" hergestellt ansehen.
Schwachstellen erfordern einige Forschung, aber sobald sie entdeckt sind, können sie automatisiert ausgenutzt werden. Sie sind schwer zu entdecken und erscheinen möglicherweise nicht einmal in den Ereignisprotokollen und hinterlassen keine Spuren oder Hinweise auf ihre Aktivität. Da MFA als Präventivmaßnahme umgangen werden kann, wird es notwendig, zusätzliche Sicherheitsmaßnahmen in Form von Erkennung und Behebung von Kontoverletzungen zu ergreifen. Weitere Details lassen sich im Proofpoint-Artikel nachlesen.
Anzeige
Zur Info WS-TRUST > https://docs.microsoft.com/en-us/power-platform/important-changes-coming
Effective October 2020, the authentication protocol will be retired for all new tenants.
Effective April 2021, the authentication protocol will be retired for all new environments within a tenant.
Effective April 2022, the authentication protocol will be retired for all new and existing environments within a tenant.