Эксперты обнаружили способ обойти двухфакторную аутентификацию Windows. Брешь в службе федерации Active Directory (Active Directory Federated Services, ADFS) позволяет злоумышленнику несколько раз использовать один и тот же токен, чтобы авторизоваться от лица легитимного пользователя.

Уязвимость обнаружил специалист компании OKTA Rex Эндрю Ли (Andrew Lee). По его словам, при получении запроса на доступ система аутентификации ADFS не проверяет соответствие имени пользователя отправленному коду. Следовательно, ключ авторизации, перехваченный в одной сессии, можно использовать в другой.

Ли описал сценарий атаки на примере гипотетических Алисы и Боба. Чтобы метод сработал, взломщик должен знать логины и пароли двух пользователей в атакуемой инфраструктуре. Чтобы получить доступ к аккаунту Алисы, ему также понадобится действительный дополнительный ключ Боба.

Злоумышленнику нужно параллельно отправить два запроса на авторизацию, от лица каждого из пользователей, к примеру, через пару браузеров. Далее он находит среди данных в сессии Боба так называемый MFA-контекст, подтверждающий корректный ввод дополнительного ключа.

Актуальность этого пакета данных подтверждается файлом cookie, который обозначает сессию, к которой относится контекст. Однако, как говорилось выше, система не соотносит контекст с именем пользователя. Это позволяет злоумышленнику отправить данные Боба с cookie-файлом Алисы и успешно авторизоваться.

Эксперт подчеркивает, что все необходимые данные можно узнать с помощью фишинга. Самым сложным будет получить дополнительный ключ Боба. В этом взломщику может помочь сообщник из числа сотрудников организации. Кроме того, преступник может использовать учетную запись нового пользователя, который еще не выбрал свой второй фактор, или технический аккаунт, не принадлежащий реальному человеку, — в этом случае и вовсе достаточно логина и пароля.

Злоумышленник может с помощью социальной инженерии заставить IT-службу обнулить дополнительный фактор Боба. Это будет сделать тем проще, что взломщику достаточно получить в свое распоряжение учетную запись даже с минимальным набором привилегий.

Атака представляет угрозу для множества вендоров, которые предлагают решения для двухфакторной аутентификации на базе ADFS. Список включает Authlogics, Duo Security, Gemalto, Okta, RSA и SecureAuth. Эксперты смогли экспериментально подтвердить уязвимость всех современных MFA-систем. Компания Microsoft признала существование бреши и опубликовала обновления для всех затронутых продуктов.

Категории: Главное, Уязвимости