微軟Azure AD單點登錄機制漏洞，日志不記錄密碼爆破事件

網(wǎng)絡安全研究人員在微軟 Azure Active Directory 使用的協(xié)議中發(fā)現(xiàn)了一個未修補的安全漏洞，潛在的攻擊者可以利用該漏洞進行暴力破解。這個漏洞允許黑客對 Azure Active Directory ( Azure AD )執(zhí)行單因素的密碼爆破，而不會在目標組織的租戶中生成登錄事件。

根據(jù)網(wǎng)絡安全行業(yè)門戶極牛網(wǎng)JIKENB.COM的梳理，Azure Active Directory 是微軟的基于企業(yè)云的身份和訪問管理 (IAM) 解決方案，專為單點登錄 (SSO) 和多重身份驗證而設計。它也是 Microsoft 365 的核心組件，具有通過 OAuth 向其他應用程序提供身份驗證的功能。

該服務的缺陷在于無縫單點登錄功能，該功能允許員工在使用連接到企業(yè)網(wǎng)絡的公司設備時自動簽名，而無需輸入任何密碼。無縫 SSO 功能會優(yōu)先嘗試，如果該過程失敗，登錄會退回到默認行為，即用戶需要在登錄頁面輸入密碼。

為此，該機制依賴Kerberos協(xié)議在 Azure AD 中查找相應的用戶對象并發(fā)出票證授予票證 (TGT)，允許用戶訪問相關資源。但對于Office 客戶端早于 Office 2013 May 2015 更新的 Exchange Online 用戶，身份驗證通過名為“UserNameMixed”的基于密碼的終結點進行，該終結點會根據(jù)憑據(jù)是否有效生成訪問令牌或錯誤代碼。

正是這些錯誤代碼導致了缺陷。雖然成功的身份驗證事件會在發(fā)送訪問令牌時創(chuàng)建登錄日志，但不會記錄Autologon對 Azure AD 的身份驗證，從而允許通過 UserNameMixed 端點利用遺漏進行未檢測到的暴力破解。

安全研究人員表示已于 6 月 29 日將這個問題通知了微軟，微軟澄清了針對上述端點的暴力攻擊的保護措施，并且 UserNameMixed API 發(fā)布的令牌不提供對數(shù)據(jù)的訪問，并補充說它們需要提交回 Azure AD 以獲取實際令牌。微軟指出，此類訪問令牌請求受到條件訪問、Azure AD 多重身份驗證、Azure AD 身份保護的保護，并出現(xiàn)在登錄日志中。