Door een beveiligingslek in de Active Directory Federation Services (ADFS) van Microsoft was het mogelijk om de multifactor-authenticatie van accounts te omzeilen. De kwetsbaarheid bevond zich specifiek in het ADFS-protocol voor de integratie met multifactor-authenticatieproducten.
Hierdoor kon de tweede factor van één account als tweede factor voor alle accounts in een organisatie worden gebruikt, zo laat securitybedrijf Okta weten dat de kwetsbaarheid ontdekte. Om misbruik van het beveiligingslek te maken waren er wel echter verschillende vereisten waar aan moest worden voldaan.
Zo moest een aanvaller de gebruikersnaam en het wachtwoord van account "a" hebben, alsmede de tweede factor. Wanneer de aanvaller op een account "b" wil inloggen moet hij nog steeds de gebruikersnaam en het wachtwoord van dit account hebben. Daarnaast moeten zowel account "a" als "b" onderdeel van dezelfde Active Directory (AD) organisatie zijn.
Andrew Lee van Okta erkent dat de aanval de nodige vereisten heeft. Het gaat dan met name om de tweede factor en het wachtwoord van een account. Hier kan op verschillende manieren aan tegemoet gekomen worden merkt hij op. Zo kan de gebruiker bijvoorbeeld een kwaadwillende insider zijn is account "a" zijn eigen account. Een andere optie is dat de gebruiker zijn eigen account niet gebruikt en nog geen tweede factor heeft ingesteld.
Een derde mogelijkheid is dat het account niet van een individu is, maar alleen voor geautomatiseerde doeleinden wordt gebruikt en daarom geen tweede factor vereist. Daarnaast kan een aanvaller de helpdesk misleiden om de tweede factor te resetten. Wanneer het wachtwoord en de tweede factor in handen van de aanvaller zijn kan hij op andere accounts inloggen, mits hij ook van deze accounts het wachtwoord heeft. Microsoft werd op 19 april door Okta ingelicht en kwam dinsdagavond met een beveiligingsupdate.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Google heeft de afgelopen twee jaar van meer dan 110 miljoen mensen het wachtwoord van het Google-account gereset omdat het om ...
In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...
dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...
Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...
Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.