Los investigadores de seguridad de Proofpoint descubrieron vulnerabilidades de seguridad críticas con implementaciones de autenticación multifactor (MFA) en el entorno de nube donde WS-Trust está habilitado.
WS-Trust es una especificación y un estándar OASIS diseñado para gestionar la emisión, renovación y validación de tokens de seguridad.
Defecto con MFA
Las vulnerabilidades permitirían a los atacantes pasar por alto el MFA y acceder a las aplicaciones en la nube que utilizan el protocolo. Los servicios en la nube proporcionados por Microsoft, como Microsoft 365, utilizan el mismo protocolo.
“Debido a la forma en que está diseñado el inicio de sesión de la sesión de Microsoft 365, un atacante podría obtener acceso completo a la cuenta del objetivo (incluido correo, archivos, contactos, datos y más)”.
Las vulnerabilidades se deben a la falta de un “protocolo intrínsecamente inseguro” (WS-Trust) como lo describe Microsoft combinado con varios errores en su implementación por parte de los IDP.
Los investigadores describen dos posibles casos en los que un atacante puede aprovechar la vulnerabilidad;
- En el primer caso, el atacante podría falsificar la dirección IP para eludir el MFA mediante una simple manipulación del encabezado de solicitud.
- En el segundo caso, el atacante alteraría el encabezado del agente de usuario, lo que provocaría que el IDP (proveedor de identidad) identificara erróneamente el protocolo y crea que está utilizando la autenticación moderna.
En todos los casos, Microsoft registra la conexión como “Autenticación moderna” debido a que el exploit pasó del protocolo heredado al moderno, dijo Proofpoint .
Proofpoint cree que estas vulnerabilidades existieron durante años y se demostrarán en su conferencia de usuarios virtual, Proofpoint Protect.
La autenticación multifactor proporciona un mayor nivel de seguridad a los usuarios, implica un paso adicional de autenticación para proteger las cuentas de los usuarios.
Durante este período de pandemia, las organizaciones cambiaron a los empleados para que trabajaran desde casa y comenzaron a acceder a las redes corporativas desde computadoras portátiles personales.