网络安全研究人员披露，微软Azure Active Directory使用的协议存在一个未修补的安全漏洞，潜在的对手可能会滥用该漏洞，发动未被发现的暴力破解攻击。

Secureworks反威胁小组(CTU)的研究人员在发表的一份报告中称:“这个漏洞允许威胁参与者对Azure Active Directory (Azure AD)执行单因素暴力攻击，而无需在目标组织的租户中生成登录事件。”

Azure Active Directory是微软基于企业云的身份和访问管理(IAM)解决方案，专为单点登录(SSO)和多因素认证而设计。它也是Microsoft 365(以前的Office 365)的核心组件，具有通过OAuth向其他应用程序提供身份验证的功能。

缺点在于无缝单点登录(Seamless Single sign - on)功能，该功能允许员工在使用连接到企业网络的公司设备时自动登录，无需输入任何密码。无缝SSO也是一种“机会主义特性”，因为如果进程失败，登录会退回到默认行为，即用户需要在登录页面上输入密码。

为了实现这一点，该机制依赖于Kerberos协议在Azure AD中查找相应的用户对象，并发出票据授予票据(TGT)，允许用户访问相关资源。但是对于Exchange Online的用户，使用的Office客户端比Office 2013年5月2015年5月的更新版本更老，身份验证是通过一个名为“usernamemixx”的基于密码的端点进行的，该端点根据凭证是否有效生成访问令牌或错误代码。

正是这些错误代码导致了缺陷漏洞。虽然成功的身份验证事件会在发送访问令牌时创建登录日志，但“Autologon对Azure AD的身份验证不会被记录”，允许通过usernamemixx端点利用这一疏忽进行未检测到的暴力攻击。

Secureworks表示，它在6月29日通知了微软这一问题，但微软在7月21日承认这一行为是“故意的”。在接受《黑客新闻》采访时，该公司表示:“我们审查了这些声明，确定所描述的技术不涉及安全漏洞，并采取了保护措施，以帮助确保客户的安全。

微软表示对上述端点的暴力攻击实施了保护措施，并并且UserNameMixed API 发布的令牌不提供对数据的访问，并补充说它们需要提交回 Azure AD 以获取实际令牌。

该公司指出，此类访问令牌请求受到条件访问、Azure AD多重身份验证、Azure AD 身份保护的保护，并出现在登录日志中。

安全漏洞将软件置于危险之中。数据显示，90%的网络安全事件和软件漏洞被利用有关，在软件开发期间通过静态代码检测技术可以帮助开发人员减少30%-70%的安全漏洞，大大提高软件安全性。当前，通过提高软件自身安全性以确保网络安全，已成为继传统网络安全防护软件之后的又一有效手段。

参读链接：

https://thehackernews.com/2021/09/new-azure-ad-bug-lets-hackers-brute.html

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课