Эксперты из компании OKTA Rex нашли, как обойти двухфакторную аутентификацию Windows. Для этого требуется немного фантазии и знакомый сотрудник в компании-жертве.
По словам специалистов, брешь в службе федерации Active Directory (Active Directory Federated Services, ADFS) позволяет несколько раз использовать один и тот же токен, чтобы авторизоваться от лица легитимного пользователя. Иными словами, если вы знаете ключ авторизации от одной сессии, вы можете использовать его в другой сессии (при условии, что они происходят одновременно), так как при получении запроса на доступ система аутентификации ADFS не проверяет соответствие имени пользователя отправленному коду. Для этого среди данных в сессии, к которой есть доступ, нужно найти так называемый MFA-контекст, подтверждающий корректный ввод дополнительного ключа.
Собственно, единственным технически сложным моментом, чтобы обойти двухфакторную аутентификацию, является получение ключа авторизации от второго пользователя. Тут есть два варианта, либо сообщник из числа сотрудников организации, либо, еще проще, новая учетка без второго auth-фактора или технический аккаунт (нужны только логин и пороль). Тртий вариант — с помощью социальной инженерии заставить IT-службу обнулить дополнительный фактор пользователя.
По мнению экспертов OKTA Rex, такая атака представляет угрозу для множества вендоров, которые предлагают решения для двухфакторной аутентификации на базе ADFS. В их числе Authlogics, Duo Security, Gemalto, Okta, RSA и SecureAuth.
