I ricercatori di Proofpoint hanno recentemente scoperto vulnerabilità critiche nell’implementazione dell’autenticazione multi-fattore (MFA) in ambienti cloud dove è abilitato WS-Trust. Si tratta di vulnerabilità che potrebbero consentire agli aggressori di bypassare l’MFA e di accedere alle applicazioni cloud che utilizzano il protocollo, in particolare Microsoft 365. Per il modo in cui è progettato il login di Microsoft 365, un hacker potrebbe ottenere l’accesso completo all’account della persona presa di mira (compresi posta, file, contatti, dati e altro ancora). Inoltre, queste vulnerabilità potrebbero essere utilizzate anche per accedere ad altri servizi cloud forniti da Microsoft, compresi ambienti di produzione e sviluppo come Azure e Visual Studio.
Le vulnerabilità erano il risultato del “protocollo intrinsecamente insicuro” (WS-Trust), come descritto da Microsoft in combinazione con vari bug nella sua implementazione da parte degli IDP. In alcuni casi un aggressore poteva falsificare il suo indirizzo IP per bypassare l’MFA semplicemente modificando il suo header. In un altro caso la variazione dell’header a livello di user ha indotto l’IDP a identificare erroneamente il protocollo e a credere di utilizzare un’autenticazione moderna. In tutti i casi, Microsoft registra la connessione come “Modern Authentication” a causa dell’exploit che passa dal protocollo legacy a quello moderno. Ignari della situazione e dei rischi, amministratori e professionisti della sicurezza addetti al monitoraggio della sessione vedrebbero la connessione come effettuata tramite Modern Authentication.
Le vulnerabilità richiedono un’attività di ricerca ma, una volta scoperte possono essere sfruttate in modo automatizzato. Sono difficili da rilevare e possono anche non apparire sui registri degli eventi, non lasciando traccia o indizi della loro attività. Dal momento che l’MFA come misura preventiva può essere bypassata, diventa necessario mettere in atto ulteriori misure di sicurezza sotto forma di rilevamento delle compromissioni dell’account e successivo rimedio.
Le vulnerabilità sono state annunciate da Proofpoint in occasione della propria user conference virtuale Proofpoint Protect. Molto probabilmente, si tratta di vulnerabilità che esistono da anni. I ricercatori Proofpoint hanno testato diverse soluzioni di Identity Provider (IDP), identificato quelle potenzialmente vulnerabili e risolto i problemi di sicurezza.
