Okta
身份管理服务供应商Okta的安全工程师Andrew△Lee日前揭露,微软的Active△Directory同盟服务(Active△Directory△Federated△Services,ADFS)在处理多因素身份认证(Multi-Factor△Authentication,MFA)请求时会产生漏洞,将允许某个帐号的第二认证因素成为该组织所有帐号的第二认证因素。
ADFS是微软所开发的、支援MFA的身份认证系统,主要应用于Windows△Server上,可搭配微软或第三方的MFA供应商的服务,扮演企业守门员的角色。有许多企业都依赖ADFS进行整个组织的身份与资源管理,以达到单一签入(Single△Sign△On)目标。
根据Lee所描述的攻击场景,若骇客已经持有Bob的使用者名称、密码,以及第二个认证因素时,若要以Alice的身份登入,只要知道Alice的帐号与密码,就能以Bob的第二个认证因素作为Alice的第二个认证因素,前提是Bob与Alice位于同样的AD组织中。
问题出现在AD伺服器只能验证它所发行的MFA令牌,但无法验证该令牌属于哪个身份,因而允许骇客利用Bob的第二认证因向来登入Alice的帐号。
Lee说,该漏洞影响所有采用ADFS△3.0官方整合API的MFA解决方案。另一方面,微软则说明成功开采该漏洞的骇客只能绕过一部份、而非所有的认证因素。
微软已于本周的Patch△Tuesday修补了此一编号为CVE-2018-8340的安全漏洞,主要是修正了ADFS处理多因素认证请求的方式。
I 相关 / Other
布局政府云端市场,微软混合云解决方案Azure Stack已开放公部门采购
图片来源: 微软 继日前微软拿到价值数亿美元的美国政府长约后,近日该公司又有新动作积极布局政府市场,近日微软已经宣布,混合云解决方案Azure△Stack,已经开放Azure△Government的用户订购。在今年3月时,微软就已
示意图,与新闻事件无关。 图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。CVE-2018-8373是个远端程式攻击漏洞,存在于IE
资安一周第4期:主流mPOS与25款Android手机韧体都有安全漏洞
企业安全解决方案供应商Positive表示,美国与欧洲市场的mPOS热门品牌,包括Square、SumUp、 iZettle与PayPal,都存有安全漏洞,这些漏洞允许骇客执行中间人攻击,通过蓝牙或行动程式传递任意程式,或者是变更磁条交
吸引用户上云,微软Azure Migrate提供成本控制、Server 2008延长资安支援
图片来源: 微软 去年底,微软推出公有云服务的搬迁工具Azure△Migrate,免费帮用户将VMware环境搬移至Azure上运作,在业界一度引起不小的骚动。在今年3月该服务正式上线后,近日微软又宣布Azure△Migrate推出新功能,
Amazon、Google、微软等多家云端大厂联手,加速推动医疗云端资料的互通性
近日,美国资讯技术产业协会(Information△Technology△Industry△Council,ITI)与多家云端大厂,一同在华盛顿举办的Blue△Button会议中联合宣布,要一同移除技术间互通的障碍,加强医疗资料在云端环境的互通性(I