Двухфакторная аутентификация Microsoft пала перед социнженерией

Опубликовано at 15:04
140 0

Эксперты из компании OKTA Rex нашли, как обойти двухфакторную аутентификацию Windows. Для этого требуется немного фантазии и знакомый сотрудник в компании-жертве.

По словам специалистов, брешь в службе федерации Active Directory (Active Directory Federated Services, ADFS) позволяет несколько раз использовать один и тот же токен, чтобы авторизоваться от лица легитимного пользователя. Иными словами, если вы знаете ключ авторизации от одной сессии, вы можете использовать его в другой сессии (при условии, что они происходят одновременно), так как при получении запроса на доступ система аутентификации ADFS не проверяет соответствие имени пользователя отправленному коду. Для этого среди данных в сессии, к которой есть доступ, нужно найти так называемый MFA-контекст, подтверждающий корректный ввод дополнительного ключа.

Собственно, единственным технически сложным моментом, чтобы обойти двухфакторную аутентификацию, является получение ключа авторизации от второго пользователя. Тут есть два варианта, либо сообщник из числа сотрудников организации, либо, еще проще, новая учетка без второго auth-фактора или технический аккаунт (нужны только логин и пороль). Тртий вариант — с помощью социальной инженерии заставить IT-службу обнулить дополнительный фактор пользователя.

По мнению экспертов OKTA Rex, такая атака представляет угрозу для множества вендоров, которые предлагают решения для двухфакторной аутентификации на базе ADFS. В их числе Authlogics, Duo Security, Gemalto, Okta, RSA и SecureAuth.

Подписываемся, следим @CyberAgency

Related Post

“Паша Дуров решил стать новым Мавроди”: РБК опубликовал странное письмо о “настоящих причинах” блокировки Telegram

Опубликовано - 20.04.2018 0
Журналисты РБК заявили, что настоящей причиной блокировки Telegram были планы Павла Дурова создать новую криптовалютную систему. Издание цитирует письмо, приписываемое…

Мобильные приложения крупнейших банков мира оказались уязвимы

Опубликовано - 11.12.2017 0
Согласно опубликованным данным, уязвимые приложения могли позволить злоумышленнику, подключенному к той же сети в качестве жертвы, перехватить SSL-соединение и получить…

Добавить комментарий