成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

新的 Azure AD 漏洞讓黑客在不被發(fā)現(xiàn)的情況下暴力破解密碼

go4it / 1513人閱讀

摘要:表示,它在月日通知了微軟這一問題,但微軟在月日承認(rèn)這一行為是故意的。微軟表示對(duì)上述端點(diǎn)的暴力攻擊實(shí)施了保護(hù)措施,并并且發(fā)布的令牌不提供對(duì)數(shù)據(jù)的訪問,并補(bǔ)充說它們需要提交回以獲取實(shí)際令牌。

網(wǎng)絡(luò)安全研究人員披露,微軟Azure Active Directory使用的協(xié)議存在一個(gè)未修補(bǔ)的安全漏洞,潛在的對(duì)手可能會(huì)濫用該漏洞,發(fā)動(dòng)未被發(fā)現(xiàn)的暴力破解攻擊。

Secureworks反威脅小組(CTU)的研究人員在發(fā)表的一份報(bào)告中稱:“這個(gè)漏洞允許威脅參與者對(duì)Azure Active Directory (Azure AD)執(zhí)行單因素暴力攻擊,而無需在目標(biāo)組織的租戶中生成登錄事件?!?/p>

Azure Active Directory是微軟基于企業(yè)云的身份和訪問管理(IAM)解決方案,專為單點(diǎn)登錄(SSO)和多因素認(rèn)證而設(shè)計(jì)。它也是Microsoft 365(以前的Office 365)的核心組件,具有通過OAuth向其他應(yīng)用程序提供身份驗(yàn)證的功能。

缺點(diǎn)在于無縫單點(diǎn)登錄(Seamless Single sign - on)功能,該功能允許員工在使用連接到企業(yè)網(wǎng)絡(luò)的公司設(shè)備時(shí)自動(dòng)登錄,無需輸入任何密碼。無縫SSO也是一種“機(jī)會(huì)主義特性”,因?yàn)槿绻M(jìn)程失敗,登錄會(huì)退回到默認(rèn)行為,即用戶需要在登錄頁面上輸入密碼。

圖片3.png

為了實(shí)現(xiàn)這一點(diǎn),該機(jī)制依賴于Kerberos協(xié)議在Azure AD中查找相應(yīng)的用戶對(duì)象,并發(fā)出票據(jù)授予票據(jù)(TGT),允許用戶訪問相關(guān)資源。但是對(duì)于Exchange Online的用戶,使用的Office客戶端比Office 2013年5月2015年5月的更新版本更老,身份驗(yàn)證是通過一個(gè)名為“usernamemixx”的基于密碼的端點(diǎn)進(jìn)行的,該端點(diǎn)根據(jù)憑證是否有效生成訪問令牌或錯(cuò)誤代碼。

正是這些錯(cuò)誤代碼導(dǎo)致了缺陷漏洞。雖然成功的身份驗(yàn)證事件會(huì)在發(fā)送訪問令牌時(shí)創(chuàng)建登錄日志,但“Autologon對(duì)Azure AD的身份驗(yàn)證不會(huì)被記錄”,允許通過usernamemixx端點(diǎn)利用這一疏忽進(jìn)行未檢測到的暴力攻擊。

Secureworks表示,它在6月29日通知了微軟這一問題,但微軟在7月21日承認(rèn)這一行為是“故意的”。在接受《黑客新聞》采訪時(shí),該公司表示:“我們審查了這些聲明,確定所描述的技術(shù)不涉及安全漏洞,并采取了保護(hù)措施,以幫助確??蛻舻陌踩?。

微軟表示對(duì)上述端點(diǎn)的暴力攻擊實(shí)施了保護(hù)措施,并并且UserNameMixed API 發(fā)布的令牌不提供對(duì)數(shù)據(jù)的訪問,并補(bǔ)充說它們需要提交回 Azure AD 以獲取實(shí)際令牌。

該公司指出,此類訪問令牌請求受到條件訪問、Azure AD多重身份驗(yàn)證、Azure AD 身份保護(hù)的保護(hù),并出現(xiàn)在登錄日志中。

安全漏洞將軟件置于危險(xiǎn)之中。數(shù)據(jù)顯示,90%的網(wǎng)絡(luò)安全事件和軟件漏洞被利用有關(guān),在軟件開發(fā)期間通過靜態(tài)代碼檢測技術(shù)可以幫助開發(fā)人員減少30%-70%的安全漏洞,大大提高軟件安全性。當(dāng)前,通過提高軟件自身安全性以確保網(wǎng)絡(luò)安全,已成為繼傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)軟件之后的又一有效手段。

參讀鏈接:

thehackernews.com/2021/09/new…

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/122216.html

相關(guān)文章

  • [轉(zhuǎn)]MD5(1)-安全性與原理

    摘要:沒錯(cuò),年的破解就是證明了在碰撞上面不可靠,也就是可以通過某種方式快速的找到具有相同散列值的另一個(gè)信息。好,第二個(gè)不安全的誤區(qū)來了上述破解過程對(duì)于絕大多數(shù)散列函數(shù)來說,基本上都是一個(gè)道理。 轉(zhuǎn)載請注明出處 http://www.paraller.com 原文排版地址 點(diǎn)擊獲取更好閱讀體驗(yàn) 轉(zhuǎn)載: http://blog.sina.com.cn/s/blog_77e8d1350100w...

    ideaa 評(píng)論0 收藏0

  • 安全開發(fā)筆記

    摘要:登錄注冊安全風(fēng)險(xiǎn)登錄注冊的風(fēng)險(xiǎn)點(diǎn)主要有四個(gè)暴力破解撞庫遍歷注冊用戶批量注冊。引入了驗(yàn)證碼機(jī)制同樣引入了額外的安全風(fēng)險(xiǎn),比如短信驗(yàn)證碼的短信炸彈風(fēng)險(xiǎn)圖形驗(yàn)證碼的可繞過可識(shí)別等。 概述 很多技術(shù)研發(fā)不了解安全,也不重視安全,只有在自己的服務(wù)器被黑掉、被掛馬、被脫褲才想起關(guān)注安全,但是這個(gè)時(shí)候,技術(shù)架構(gòu)已經(jīng)成型、代碼已經(jīng)在線上穩(wěn)定運(yùn)行,再亡羊補(bǔ)牢,改代碼、改策略,往往成本巨大、確收效很低。所...

    Cruise_Chan 評(píng)論0 收藏0

  • 網(wǎng)絡(luò)安全態(tài)勢可視化

    摘要:安全態(tài)勢可視化系統(tǒng)的目的是生成網(wǎng)絡(luò)安全綜合態(tài)勢圖,以多視圖多角度多尺度的方式與用戶進(jìn)行交互??梢钥吹?,黑客攻擊是無處不在,無時(shí)不有的,世界互聯(lián)網(wǎng)的安全態(tài)勢并不如我們印象中那么隱蔽和少見。 導(dǎo)語 網(wǎng)絡(luò)態(tài)勢可視化技術(shù)作為一項(xiàng)新技術(shù),是網(wǎng)絡(luò)安全態(tài)勢感知與可視化技術(shù)的結(jié)合,將網(wǎng)絡(luò)中蘊(yùn)涵的態(tài)勢狀況通過可視化圖形方式展示給用戶,并借助于人在圖形圖像方面強(qiáng)大的處理能力,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的分析和檢測...

    testHs 評(píng)論0 收藏0

  • 【譯】Nodejs應(yīng)用安全備忘錄

    摘要:所以我們整理了一個(gè)應(yīng)用安全備忘錄,以幫助你在部署啟動(dòng)應(yīng)用程序的時(shí)候進(jìn)行安全檢查。這可以保護(hù)應(yīng)用程序不被攻擊。應(yīng)該用日志記錄下來,而不是顯示給用戶。 本人的博客http://www.wjs.photo/,感興趣的可以看看哦,基于NodeJs框架ThinkJs 本文翻譯自 www.risingstack.com ,并非逐字逐句的翻譯,有錯(cuò)誤的地方請指出,謝謝啦 應(yīng)用程序的安全就像是你房間里...

    Loong_T 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<