El nuevo error de Azure AD permite a los piratas informáticos utilizar contraseñas de fuerza bruta sin que los atrapen
Los investigadores de ciberseguridad han descubierto una vulnerabilidad sin parchear en el registro de Microsoft Azure Active Directory que los adversarios potenciales podrían usar para llevar a cabo ataques de fuerza bruta no detectados.
«Esta falla permite a los actores de amenazas llevar a cabo ataques de fuerza bruta de un factor contra Azure Active Directory (Azure AD) sin generar eventos de inicio de sesión en el inquilino de la empresa objetivo», dijeron investigadores de la Unidad de contraamenazas de Secureworks (CTU) en un informe publicado en Miércoles.
Azure Active Directory es la solución de administración de acceso e identidad empresarial (IAM) basada en la nube de Microsoft diseñada para el inicio de sesión único (SSO) y la autenticación de múltiples factores. También es un componente central de Microsoft 365 (anteriormente Office 365) con funcionalidad para proporcionar autenticación para otras aplicaciones a través de OAuth.
El punto débil radica en la función de inicio de sesión único sin problemas, que permite a los empleados firmar automáticamente cuando usan sus dispositivos corporativos conectados a redes corporativas sin ingresar contraseñas. El SSO sin interrupciones también es una «función oportunista» porque si se produce un error, el inicio de sesión vuelve al comportamiento estándar, en el que el usuario debe ingresar su contraseña en la página de inicio de sesión.
Para lograr esto, el mecanismo usa el protocolo Kerberos para buscar el objeto de usuario apropiado en Azure AD y emitir un ticket de concesión de tickets (TGT) que permite al usuario acceder al recurso en cuestión. Sin embargo, para los usuarios de Exchange Online con clientes de Office anteriores a la actualización de Office 2013 de mayo de 2015, la autenticación se realiza mediante un extremo basado en contraseña llamado UserNameMixed, que es un token de acceso o genera un código de error.
Son estos códigos de error los que están causando el error. Si bien los eventos de autenticación correctos generan registros de inicio de sesión cuando se envían los tokens de acceso, «la autenticación de Autologon en Azure AD no se registra», por lo que la omisión se puede usar para ataques de fuerza bruta no detectados a través del punto de conexión UserNameMixed.
Secureworks dijo que notificó a Microsoft sobre el problema el 29 de junio, solo para que Microsoft clasificara el comportamiento como «intencional» el 21 de julio. Nos comunicamos con la compañía para obtener más comentarios y actualizaremos la historia si escuchamos algo.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
