Microsoft Azure AD に新たな脆弱性:ブルートフォース攻撃が成立する?

New Azure AD Bug Lets Hackers Brute-Force Passwords Without Getting Caught

2021/09/30 TheHackerNews — サイバー・セキュリティ研究者たちが、Microsoft Azure Active Directory で使用されているプロトコルに、パッチが適用されていない脆弱性が存在していることを明らかにした。Secureworks Counter Threat Unit (CTU) の研究者たちは、この脆弱性を悪用すると、Azure Active Directory (Azure AD) の標的となるテナントで、サインインのイベントを発生させることなく、シングル・ファクタによるブルートフォース攻撃を行うことができる、と水曜日に発表した。

Azure Active Directoryは、シングル・サインオン (SSO) と多要素認証のために設計された、Microsoft のエンタープライズ向けクラウドベース ID、および、アクセス管理 (IAM) ソリューションである。また、Azure Active Directory は、Microsoft 365 (旧Office 365) のコアコンポーネントであり、OAuth を用いて他のアプリケーションに認証を提供するための機能も備えている。

その弱点は、企業ネットワークに接続された、企業のデバイスを使用する際に、従業員がパスワードを入力することなく自動的にサインオンできる、「シームレス・シングル・サインオン」機能に存在する。

シームレス SSO は、プロセスが失敗した場合に、ユーザーがサインイン・ページでパスワードを入力する必要がある、デフォルトの動作にフォールバックするという点で、「オポチュニスティックな機能」でもある。

この機能を実現するために、Kerberos プロトコルに依存するメカニズムが採用され、Azure AD 内の対応するユーザー・オブジェクトを検索し、チケット付与チケット (TGT) を発行することで、問題となるリソースへのアクセスを、ユーザーに許可することになる。

しかし、Office 2013 May 2015 アップデートより、古い Office クライアントを持つExchange Online のユーザーの場合には、認証は UserNameMixed というパスワード・ベースのエンドポイントを介して行われ、認証情報の有効性の有無に応じて、アクセス・トークンまたはエラー・コードが生成される。

今回の欠陥は、このエラーコードに起因している。認証に成功したイベントでは、アクセス・トークンの送信時にサインインのログが作成されるが、Autologon による Azure AD への認証はログに記録されないため、UserNameMixed エンドポイントを利用したブルートフォース攻撃が検出されずに行われてしまう。

Secureworks によると、6月29日に Microsoftに対して、この問題を通知したが、7月21日に Microsoft は、この動作について “by design ” であると認めたという。現在、Microsoft に詳細なコメントを求めているところだ。

先日に、「ブルートフォースと脆弱性が人気の突破口:セキュリティ対策にズレは無いか?」という記事を訳したときから、「何故にブルートフォース? 」という疑問が残っていましたが、この記事を観て、少し解消した感じがします。この記事に書かれているようなことが、いろんなところで起こっているように思えます。Microsoft はパスワードレス・ログインへと舵を切りました。1つずつ、問題点を潰していってくれるでしょう。

%d bloggers like this: