新的Azure广告漏洞让黑客可以暴力破解密码而不会被抓到

网络安全研究人员已披露，Microsoft Azure Active Directory使用的协议中存在一个未修补的安全漏洞，潜在对手可能会滥用该漏洞进行未被发现的暴力攻击。

Secureworks反威胁部门（CTU）的研究人员在周三发布的一份报告中表示：“该漏洞允许威胁参与者对Azure Active Directory（Azure AD）执行单因素暴力攻击，而无需在目标组织的租户中生成登录事件。”。

Azure Active Directory是Microsoft基于企业云的身份和访问管理（IAM）解决方案，专为单点登录（SSO）和多因素身份验证而设计。它也是Microsoft 365（以前的Office 365）的核心组件，具有通过OAuth向其他应用程序提供身份验证的功能。

缺点在于无缝单点登录功能，该功能允许员工在使用连接到企业网络的企业设备时自动登录，而无需输入任何密码。无缝SSO也是一种“机会主义功能”，因为如果过程失败，登录会退回到默认行为，用户需要在登录页面上输入密码。

为了实现这一点，该机制依赖Kerberos协议在Azure AD中查找相应的用户对象，并发出票据授予票据（TGT），允许用户访问相关资源。但对于Office 2013-2015年5月更新之前的Office客户端的Exchange Online用户，身份验证通过名为“UserNameMixed”的基于密码的端点进行，该端点根据凭据是否有效生成访问令牌或错误代码。

正是这些错误代码导致了缺陷。虽然成功的身份验证事件会在发送访问令牌时创建登录日志，“Autologon对Azure AD的身份验证不会被记录”，但这允许忽略通过UserNameMixed端点进行未被检测到的暴力攻击。

Secureworks表示，它于6月29日将此事通知了微软，但微软在7月21日承认该行为是“故意的”当收到黑客新闻时，该公司表示，“我们已经审查了这些声明，并确定所描述的技术不涉及安全漏洞，并且有保护措施来帮助确保客户保持安全。”

微软还澄清了已经适用于上述端点的暴力攻击防护措施，并且UserNameMixed API发布的令牌不提供对数据的访问，并补充说，需要将它们呈现回Azure AD以获取实际令牌。该公司指出，此类访问令牌请求受到条件访问、Azure AD多因素身份验证、Azure AD身份保护的保护，并出现在登录日志中。