1
0
Bugs no sistema de autenticação multifatorial usado pela plataforma de produtividade de escritórios baseada em nuvem da Microsoft, a Microsoft 365, abriram as portas para os hackers acessarem aplicativos em nuvem através de um desvio do sistema de segurança, de acordo com pesquisadores do Proofpoint.
As falhas existem na implementação do que é chamado de especificação WS-Trust em ambientes de nuvem onde o WS-Trust é ativado e usado com a Microsoft 365, anteriormente chamada de Office 365. O WS-Trust é um padrão OASIS que fornece extensões ao WS-Security e é usado para renovar e validar tokens de segurança, intermediar relacionamentos de confiança – parte de uma arquitetura segura de troca de mensagens.
A Organização para o Avanço das Normas estruturadas de Informação (OASIS) é um consórcio sem fins lucrativos que promove padrões abertos em segurança.
A questão, disseram os pesquisadores, é que o WS-Trust é um “protocolo inerentemente inseguro” e que os Provedores de Identidade da Microsoft (IDPs) implementaram as especificações com vários bugs.
“Devido à maneira como o login da microsoft 365 é projetado, um invasor pode obter acesso total à conta do alvo (incluindo e-mail, arquivos, contatos, dados e muito mais)”, Itir Clarke, gerente sênior de marketing de produtos da Proofpoint’s Cloud Access Security Broker, em um relatório publicado online na terça-feira. “Além disso, essas vulnerabilidades também podem ser usadas para obter acesso a vários outros serviços de nuvem fornecidos pela Microsoft, incluindo ambientes de produção e desenvolvimento, como o Azure e o Visual Studio.”
Ela disse que a implementação do padrão da Microsoft dá aos atacantes uma série de maneiras de contornar o MFA e acessar seus serviços em nuvem, abrindo caminho para vários ataques – incluindo phishing em tempo real, sequestro de canais e uso de protocolos legados.
“Em alguns casos, um invasor poderia falsificar [um] endereço IP para contornar o MFA através de uma simples manipulação de cabeçalho de solicitação”, escreveu ela. Em outro caso, disse Clarke, um invasor pode alterar o cabeçalho do usuário-agente e fazer com que o Provedor de Identidade desidentifique mal o protocolo.
“Em todos os casos, a Microsoft registra a conexão como ‘Autenticação Moderna’ devido à exploração pivotando do protocolo legado ao moderno. Desconhecendo a situação e os riscos envolvidos, os administradores e profissionais de segurança que monitoram o inquilino veriam a conexão como feita via Autenticação Moderna.”
A Proofpoint disse que testou uma série de soluções de IDP, descobriu aquelas que eram suscetíveis e mitigaram os problemas.
O protocolo WS-Trust, disse o Proofpoint, abre as portas para os invasores explorarem os serviços de nuvem da Microsoft 365 em vários cenários de ataque. Uma delas é falsificar um endereço IP para contornar o MFA através de uma simples manipulação de cabeçalho de solicitação.
Outro caso seria alterar o cabeçalho do agente de usuário que fez com que o IDP identificasse mal o protocolo e acreditasse que ele estava usando a Autenticação Moderna, escreveu Clarke.
MFA, um alvo crescente
Com muitas organizações confiando mais no uso da nuvem devido ao aumento dos cenários de trabalho em casa por causa da pandemia COVID-19, o MFA está se tornando uma “camada de segurança imperdível” para proteger esses ambientes das inúmeras ameaças que surgiram, observou Clarke.
“Os funcionários começaram a acessar aplicativos corporativos a partir de dispositivos pessoais e não gerenciados”, escreveu ela. “E eles começaram a gastar mais tempo em seus dispositivos corporativos em casa, lendo e-mails pessoais potencialmente maliciosos ou navegando em sites arriscados.”
O aumento da dependência do MFA também significa, no entanto, que o recurso é ainda mais atraente para os atores de ameaças explorarem como um caminho para as redes corporativas, tornando a mitigação de vulnerabilidades que afetam o MFA crítica à segurança, acrescentou Clarke. Isso pode significar que as organizações devem adicionar outras proteções para mitigar riscos e ataques, como combinar MFA e visibilidade de ameaças para proteger ambientes em nuvem, disse ela.
De fato, as falhas identificadas pelo Proofpoint não são a primeira vez que os atacantes exploram o uso de MFA no Office 365. Pesquisadores da Cofense observaram uma campanha de phishing em maio que também contornou o MFA no serviço de colaboração em nuvem para acessar os dados das vítimas armazenados na nuvem. Essa tática aproveitou a estrutura OAuth2 e o protocolo OpenID Connect (OIDC) e usou um link de SharePoint malicioso para enganar os usuários a conceder permissões a um aplicativo desonesto.
Mais recentemente, nesta semana, o Microsoft 365 também enfrentou outro ataque de phishing– este usando uma nova técnica para fazer uso de APIs de autenticação para validar as credenciais do Office 365 das vítimas – em tempo real – à medida que as inseriam na página de desembarque.
FONTE: THREATPOST