مایکروسافت حمله به احراز هویت دو عاملی (2FA : two-factor authentication) بدون نیاز به تعامل کاربر را تایید کرد.
محققان امنیتی، نحوه عبور از تهدید احراز هویت دوعاملی( 2FA ) بدون نیاز به تعامل کاربر را فاش کردند.
این داستان که در ابتدا در 13 دسامبر منتشر شد، اکنون شامل بیانیهای از مایکروسافت در مورد آسیبپذیری عبور از احراز هویت دوعاملی و تأثیر آن بر کاربران است.
محققان امنیتی فاش کردهاند که یک آسیبپذیری مهم در دفاعهای احراز هویت دومرحلهای (2FA) مایکروسافت وجود داشت ؛ دفاعی که برای محافظت از کاربران در برابر حملات هکری طراحی شده است. این آسیبپذیری که اکنون توسط مایکروسافت برطرف شده است، 400 میلیون کاربر آفیس 365 را در معرض خطر حمله عبور از احراز هویت دومرحلهای (2FA) قرار میداد. این حمله نیازی به هیچگونه تعامل کاربر نداشت، هیچ هشداری ایجاد نمیکرد و تنها یک ساعت زمان میبرد. در ادامه هرآنچه باید بدانید آورده شده است.
گزارش جدیدی از شرکت Oasis Security جزئیات فنی چگونگی شناسایی یک آسیبپذیری بحرانی در مکانیزم 2FA را منتشر کرده است؛ آسیبپذیریای که بهطور بالقوه حسابهای مایکروسافت را در معرض خطر قرار میداد و دسترسی به ایمیلهای اوتلوک (Outlook)، فایلهای واندرایو (OneDrive)، چتهای تیمز (Teams chats) و ابر آزور (Azure Cloud) را ممکن میساخت. محققان هشدار دادند:
"مایکروسافت بیش از 400 میلیون کاربر پولی آفیس 365 (Office 365) دارد که پیامدهای این آسیبپذیری را بسیار گسترده میکرد."
پیامدهای این نقص امنیتی بسیار گسترده بودند، اما خود حمله بهطور شگفتآوری ساده بود:
هر کاربر برای ورود به اکانت خود این امکان را دارد که تا 10 بار پیاپی کد 2FA را برای ورود امتحان کند. اما پس از تلاشهای ناموفق، مایکروسافت اکانت فرد را قفل نمیکرد بلکه صرفا نشست موقت کاربر را قفل میکرد. بنابراین ربات هکر این امکان را داشت تا روی نشست جدید مجدد کدهای 6 رقمی را برای ورود به اکانت کاربر امتحان کند. بدتر از همه این بود که در طول فرآیند حمله، کاربرِ حساب، از هیچ تلاشی مطلع نمیشد؛ نه از طریق ایمیل و نه با مکانیزم هشدار دیگری. به این ترتیب، مهاجم میتوانست بدون جلب توجه، به فعالیت خود ادامه دهد. بنابراین هکر در بازه زمانی کوتاه با تلاشهای پی در پی ربات برای یافتن کد 6 رقمی احراز هویت دوعاملی، موفق به ورود به حساب کاربری میشد.
کامنت SSO پلاس: مایکروسافت هشدار برای تلاش اشتباه برای ورود را به کاربر اطلاع رسانی نمیکرد، اما سیستم بانکداری کشور ما تلاش ناموفق را به کاربر اطلاع میدهند.
مایکروسافت در پاسخ به این گزارش اعلام کرد:
"ما از همکاری با Oasis Security برای افشای مسئولانه این مشکل قدردانی میکنیم. ما قبلاً یک بهروزرسانی منتشر کردهایم و هیچ اقدامی از سوی مشتریان لازم نیست."
محققان Oasis این نقص را در 24 ژوئن به مایکروسافت گزارش داد و مایکروسافت در 9 اکتبر یک Patch دائمی برای آن منتشر کرد. محققان Oasis تأیید کردند که جزئیات کامل این patch محرمانه باقی مانده است، اما محدودیت سختگیرانهتری برای نرخ شکست 2FA معرفی شده است.
مایکروسافت همچنین افزود که نظارت امنیتی این شرکت برای شناسایی چنین سوءاستفادههایی طراحی شده و اعلام کرد که تاکنون هیچ مدرکی مبنی بر استفاده از این روش علیه کاربران مشاهده نشده است.
روشهای کاهش خطر حملات عبور از 2FA
چنین حملاتی محدود به مایکروسافت نیستند و حملات عبور از2FA (two-factor authentication)در اکثر پلتفرمهای محبوب رایج هستند. با این حال، اکثر این حملات بهطور مستقیم از مکانیزمهای محدودکننده نرخ شکست عبور نمیکنند و نیاز به شناسایی یک آسیبپذیری خاص دارند.
درعوض، معمولاً از کیتهای فیشینگ مانند Rockstar 2FA استفاده میشود که به مهاجمان اجازه میدهد با هدایت کاربر به وبسایتی جعلی و ذخیره کوکی نشست ( session cookie)، به حساب کاربری دسترسی پیدا کنند.
منبع : www.forbes.com
***سامانه SSO پلاس، سامانه احراز هویت متمرکز و یکپارچه و پنجره واحد خدمات***
سامانه SSO پلاس، یه راهکار SSO سازمانی است. پنجرهای واحد برای ورود یکباره به سامانههاست. SSO پلاس، یکIdentity Access Management است که علاوه بر ورود یکپارچه کاربران به سامانهها، مدیریت کاربران و دسترسیها را نیز فراهم میکند.
سامانه SSO پلاس، پنجرهای واحد برای و ورود یکباره به سامانهها، امروز بالغ بر ۶میلیون کاربر فعال در حال استفاده از این سامانه هستند و حدود ۵۰ شرکت نرمافزاری به آن متصل شدهاند. اس اس او پلاس توانسته از سال ۱۳۹۹ تاکنون تاییدیه چندین آزمایشگاه امنیت را با موفقیت کسب نماید. اس اس او پلاس یک راهکار نرمافزار سازمانی است که سازمانهای بزرگ و متوسط را در تحقق شکلدهی هویت دیجیتالِ (Digital Identity) کاربران و کارمندان خود، ممکن میسازد. از مهمترین ویژگیهای این راهکار سازمانی وجود فرایندهای متنوع احراز هویت و Multi-Factor Authentication است، همچنین با پیاده سازی ۳ سطحی مجازشماری Authorization ،توانسته است، تمامی نیازهای سازمان را به صورت یکجا محقق نماید .
اطلاعات تماس: