Beheer

Security
authenticatie sms

Microsofts multifactor-authenticatie was makkelijk te omzeilen

Kwetsbaarheid in ADFS-protocol maakte dezelfde tweede factor toepasbaar op meerdere accounts.

© CCO/Pixabay Firmbee
17 augustus 2018

Kwetsbaarheid in ADFS-protocol maakte dezelfde tweede factor toepasbaar op meerdere accounts.

Securitybedrijf Okta ontdekte een kwetsbaarheid in de Active Directory Federation Services van Microsoft, waardooor het mogelijk was om de multifactor-authenticatie (MFA) van accounts te ontwijken.

Andrew Lee, medewerker van Okta, ontdekte de zwakte in het ADFS-protocol, gebruikt voor integratie met authenticatie-producten. Door de kwetsbaarheid konden hackers zichzelf eenvoudig toegang verschaffen tot de credentials van een andere gebruiker, mits aan enkele voorwaarden werd voldaan.

Tweede trap

De kwetsbaarheid van de tweetraps-authenticatie, die de naam CVE-2018-8340 meekreeg, zat voornamelijk in de tweede trap. De tweede factor van het ene account, kon tegelijkertijd als tweede factor voor iedere gebruiker worden gebruikt. Kort gezegd kon men dus op ieder account inloggen, mits men de eerste trap door wist te komen door inlognaam en wachtwoord te onderscheppen en het invoeren van dezelfde code als de tweede factor, zoals die eerder was onderschept. 

Andere vereiste was dat beide accounts onderdeel waren van dezelfde Active Directory (AD). Volgens Andrew Lee van Okta kon de kwetsbaarheid bijvoorbeeld worden uitgebuit door een kwaadwillende insider, of een uitbuiting van een gebruiker die het eigen account niet actief gebruikt en nog geen tweede factor heeft ingesteld. 

Microsoft werd op 19 april door Okta ingelicht over het lek en heeft inmiddels een beveiligingsupdate uitgebracht.
 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.