Investigadores de ciberseguridad han descubierto una vulnerabilidad de seguridad no corregida en un protocolo utilizado por Microsoft Azure Active Directory que los posibles adversarios podrían explotar para llevar a cabo ataques no detectados con fuerza bruta.

«Esta vulnerabilidad permite a los actores de amenazas realizar ataques de fuerza bruta de un factor contra Azure Active Directory (Azure AD) sin generar eventos de inicio de sesión en el inquilino de la organización de destino», dijo la Unidad Contra Amenazas (CTU) de Secureworks. El miércoles.

Azure Active Directory es la solución de administración de identidad y acceso (IAM) de la nube empresarial de Microsoft diseñada para el inicio de sesión único (SSO) y la autenticación multifactor. También es un componente central de Microsoft 365 (anteriormente Office 365) con la capacidad de proporcionar autenticación para otras aplicaciones a través de OAuth.

La debilidad es la función Seamless Single Sign-On, que permite a los empleados iniciar sesión automáticamente cuando usan sus dispositivos corporativos conectados a redes corporativas sin tener que ingresar ninguna contraseña. El inicio de sesión único sin problemas también es una «función ocasional» en la que si el proceso falla, el inicio de sesión vuelve al comportamiento predeterminado, donde el usuario debe ingresar su contraseña en la página de inicio de sesión.

Para lograr esto, el mecanismo se basa en Kerberos, que encuentra un objeto de usuario coincidente en Azure AD y emite un ticket de emisión (TGT) que permite al usuario acceder al recurso en cuestión. Pero para los usuarios de Exchange Online con clientes de Office anteriores a la actualización de Office de mayo de 2013, la autenticación se realiza a través de un extremo basado en contraseña denominado «UserNameMixed», que genera un token de acceso o un código de error, según si las credenciales son válidas.

El error proviene de estos códigos de error. Si bien los eventos de autenticación exitosos generan registros de inicio de sesión cuando se envían tokens de acceso, «no se registra la autenticación autorizada en Azure AD», lo que permite que esta omisión se use para ataques de fuerza bruta no detectados a través del extremo UserNameMixed.

Secureworks dijo que informó el problema a Microsoft el 29 de junio, solo para que Microsoft reconociera el comportamiento del 21 de julio como «intencional». Dirigiéndose a The Hacker News, dijo: «Hemos revisado estas afirmaciones y descubrimos que la técnica descrita no incluye vulnerabilidades de seguridad y se han implementado protecciones para ayudar a garantizar que los clientes permanezcan seguros».

Microsoft también aclaró qué protecciones de fuerza bruta ya se aplican a los puntos finales anteriores y que los tokens emitidos por la API UserNameMixed no brindan acceso a los datos, y agregó que deben enviarse nuevamente a Azure AD para obtener tokens reales. Dichas solicitudes de token de acceso están protegidas por acceso condicional, autenticación multifactor de Azure AD, protección de identidad de Azure AD y aparecen en los registros de inicio de sesión, señaló la compañía.