SSO پلاس (سامانه احراز هویت یکپارچه سازمانی)
SSO پلاس (سامانه احراز هویت یکپارچه سازمانی)
خواندن ۴ دقیقه·۶ ساعت پیش

باگ احراز هویت دوعاملی مایکروسافت فاش شد!

(2FA : two-factor authentication)   احرازهویت دوعاملی
(2FA : two-factor authentication) احرازهویت دوعاملی

مایکروسافت حمله به احراز هویت دو عاملی (2FA : two-factor authentication) بدون نیاز به تعامل کاربر را تایید کرد.

محققان امنیتی، نحوه عبور از تهدید احراز هویت دوعاملی( 2FA ) بدون نیاز به تعامل کاربر را فاش کردند.

این داستان که در ابتدا در 13 دسامبر منتشر شد، اکنون شامل بیانیه‌ای از مایکروسافت در مورد آسیب‌پذیری عبور از احراز هویت دوعاملی و تأثیر آن بر کاربران است.

محققان امنیتی فاش کرده‌اند که یک آسیب‌پذیری مهم در دفاع‌های احراز هویت دومرحله‌ای (2FA) مایکروسافت وجود داشت ؛ دفاعی که برای محافظت از کاربران در برابر حملات هکری طراحی شده است. این آسیب‌پذیری که اکنون توسط مایکروسافت برطرف شده است، 400 میلیون کاربر آفیس 365 را در معرض خطر حمله عبور از احراز هویت دومرحله‌ای (2FA) قرار می‌داد. این حمله نیازی به هیچ‌گونه تعامل کاربر نداشت، هیچ هشداری ایجاد نمی‌کرد و تنها یک ساعت زمان می‌برد. در ادامه هرآنچه باید بدانید آورده شده است.

آسیب‌پذیری عبور از احراز هویت دومرحله‌ای (2FA) مایکروسافت چگونه بود؟

گزارش جدیدی از شرکت Oasis Security جزئیات فنی چگونگی شناسایی یک آسیب‌پذیری بحرانی در مکانیزم 2FA را منتشر کرده است؛ آسیب‌پذیری‌ای که به‌طور بالقوه حساب‌های مایکروسافت را در معرض خطر قرار می‌داد و دسترسی به ایمیل‌های اوت‌لوک (Outlook)، فایل‌های وان‌درایو (OneDrive)، چت‌های تیمز (Teams chats) و ابر آزور (Azure Cloud) را ممکن می‌ساخت. محققان هشدار دادند:
"مایکروسافت بیش از 400 میلیون کاربر پولی آفیس 365 (Office 365) دارد که پیامدهای این آسیب‌پذیری را بسیار گسترده می‌کرد."

روش حمله ساده اما مؤثر

پیامدهای این نقص امنیتی بسیار گسترده بودند، اما خود حمله به‌طور شگفت‌آوری ساده بود:

هر کاربر برای ورود به اکانت خود این امکان را دارد که تا 10 بار پیاپی کد 2FA را برای ورود امتحان کند. اما پس از تلاش‌های ناموفق، مایکروسافت اکانت فرد را قفل نمی‌کرد بلکه صرفا نشست موقت کاربر را قفل می‌کرد. بنابراین ربات هکر این امکان را داشت تا روی نشست جدید مجدد کدهای 6 رقمی را برای ورود به اکانت کاربر امتحان کند. بدتر از همه این بود که در طول فرآیند حمله، کاربرِ حساب، از هیچ تلاشی مطلع نمی‌شد؛ نه از طریق ایمیل و نه با مکانیزم هشدار دیگری. به این ترتیب، مهاجم می‌توانست بدون جلب توجه، به فعالیت خود ادامه دهد. بنابراین هکر در بازه زمانی کوتاه با تلاش‌های پی در پی ربات برای یافتن کد 6 رقمی احراز هویت دوعاملی، موفق به ورود به حساب کاربری می‌شد.

کامنت SSO پلاس: مایکروسافت هشدار برای تلاش اشتباه برای ورود را به کاربر اطلاع رسانی نمی‌کرد، اما سیستم بانکداری کشور ما تلاش ناموفق را به کاربر اطلاع می‌دهند.

واکنش مایکروسافت به آسیب‌پذیری 2FA(two-factor authentication)

مایکروسافت در پاسخ به این گزارش اعلام کرد:
"ما از همکاری با Oasis Security برای افشای مسئولانه این مشکل قدردانی می‌کنیم. ما قبلاً یک به‌روزرسانی منتشر کرده‌ایم و هیچ اقدامی از سوی مشتریان لازم نیست."

محققان Oasis این نقص را در 24 ژوئن به مایکروسافت گزارش داد و مایکروسافت در 9 اکتبر یک Patch دائمی برای آن منتشر کرد. محققان Oasis تأیید کردند که جزئیات کامل این patch محرمانه باقی مانده است، اما محدودیت سخت‌گیرانه‌تری برای نرخ شکست 2FA معرفی شده است.

مایکروسافت همچنین افزود که نظارت امنیتی این شرکت برای شناسایی چنین سوءاستفاده‌هایی طراحی شده و اعلام کرد که تاکنون هیچ مدرکی مبنی بر استفاده از این روش علیه کاربران مشاهده نشده است.

روش‌های کاهش خطر حملات عبور از 2FA

چنین حملاتی محدود به مایکروسافت نیستند و حملات عبور از2FA (two-factor authentication)در اکثر پلتفرم‌های محبوب رایج هستند. با این حال، اکثر این حملات به‌طور مستقیم از مکانیزم‌های محدودکننده نرخ شکست عبور نمی‌کنند و نیاز به شناسایی یک آسیب‌پذیری خاص دارند.

درعوض، معمولاً از کیت‌های فیشینگ مانند Rockstar 2FA استفاده می‌شود که به مهاجمان اجازه می‌دهد با هدایت کاربر به وب‌سایتی جعلی و ذخیره کوکی نشست ( session cookie)، به حساب کاربری دسترسی پیدا کنند.

منبع : www.forbes.com

***سامانه SSO پلاس، سامانه احراز هویت متمرکز و یکپارچه و پنجره واحد خدمات***

سامانه SSO پلاس، یه راهکار SSO سازمانی است. پنجره‌ای واحد برای ورود یکباره به سامانه‌هاست. SSO پلاس، یکIdentity Access Management است که علاوه بر ورود یکپارچه کاربران به سامانه‌ها، مدیریت کاربران و دسترسی‌ها را نیز فراهم می‌کند.

سامانه SSO پلاس، پنجره‌ای واحد برای و ورود یکباره به سامانه‌ها، امروز بالغ بر ۶میلیون کاربر فعال در حال استفاده از این سامانه هستند و حدود ۵۰ شرکت نرم‌افزاری به آن متصل شده‌‍‌اند. اس اس او پلاس توانسته از سال ۱۳۹۹ تاکنون تاییدیه چندین آزمایشگاه امنیت را با موفقیت کسب نماید. اس اس او پلاس یک راهکار نرم‌افزار سازمانی است که سازمان‌های بزرگ و متوسط را در تحقق شکل‌دهی هویت دیجیتالِ (Digital Identity) کاربران و کارمندان خود، ممکن می‌سازد. از مهمترین ویژگی‌های این راهکار سازمانی وجود فرایندهای متنوع احراز هویت و Multi-Factor Authentication است، همچنین با پیاده سازی ۳ سطحی مجازشماری Authorization ،توانسته است، تمامی نیازهای سازمان را به صورت یکجا محقق نماید .

اطلاعات تماس:

احراز هویتمایکروسافتباگهک
SSO پلاس ، محصول شرکت دانش بنیان راهبرد امن ماهان. SSO پلاس ، راهکار سازمانی یکپارچه سازی ، امن‌سازی و بهبود تجربه کاربری https://www.sso-plus.com
شاید از این پست‌ها خوشتان بیاید