企业敦促修补Microsoft漏洞允许MFA旁路
预示着缓解遮挡许可影响
害怕A.I.为你的工作?是的,你很可能
5G将帮助自动驾驶汽车巡航街道
聪明的城市是网络攻击者的诱人目标
神秘的WPD驱动程序正在Windows PC上安装,触发错误
停止使用SHA1:它现在完全不安全
在澳大利亚发动的雪花
Lib Dems希望在现代战争中使用Tech的“日内瓦会议”
AWS在第二季度同比上涨了近50%
Windows VR耳机显示承诺,需要波兰语
什么是微软在手臂上使用Windows Server之后?
空中客车雷达后量子安全
Brocade的Ruckus Wi-Fi商业发现买家
数据保护负担依赖于公司和政府
北欧国家在北极IT项目中合作
印度的Reliance Jio正在燃烧到全IP移动网络的路径
Microsoft和Arm在服务器中翻页英特尔
美国报告警告,黑客定位软件供应链,警告
U.S.与飞机指向鸟类的无人机碰撞探测
Moodle CMS中的缺陷将数千个电子学习网站造成风险
福特认为超越汽车以用于未来的流动性
Crest报告亮点需要Bug Bounty最佳实践
AWS遵循Google,保留实例灵活性更改
Powerghost Cryptominer的支架,警告卡巴斯基实验室
大多数英国公司没有投保数据违规行为
森林假期如何将其托管网站迁移到托管服务
伟大的计划,推特:'让我们复活一个旧的过时的应用程序,让人付钱'
在雅虎的俄罗斯黑客内:他们是如何做到的
LEEDS NHS信任誓言到2019年将其传真机转储
商业电子邮件妥协急剧上升
首席执行官由董事会封锁,希望快速数字转机
谷歌透露了在周二延迟之后未被批量的IE漏洞
亚特萨斯人搬迁以整合其Trello收购
沃达丰准备LTE月亮拍摄 - 字面上
FCA警告,在不与欧盟分享数据的情况下无法管理财务犯罪风险
Windows 10,2月边缘使用寿命稳定
尽管有安全福利,PCI DSS合规性均落下
ARRIVA ITSM实施超出了预期
Facebook,Microsoft使用新的AI服务器设计更快的服务更快
微软扩展了通过专利许可的连接车推送
近40%的IT专业人士表示,公司不是解决多样性
英特尔的移动未来是在它埋葬原子失败时燃烧的调制解调器
苹果:Mac和iPhone是从新透露的CIA漏洞中安全的安全
Mingis关于Tech:瘦身上的自驾车,无线iPhone充电和Wi-Fi灯
IT部门建议瑞典政府对选举和投票制度
Minn。警方寻求谁忘了受害者姓名的数据
谷歌的Jamboard将花费5,000美元并送到美国5月份
内阁办公室将私有云交易扩展到UKFAST维护紧急通讯
奥卡多如何扰乱自己的模型
您的位置:首页 >电子新闻 >

企业敦促修补Microsoft漏洞允许MFA旁路

2021-08-12 14:44:02 [来源]:

Microsoft的Active Directory联合服务(ADF)中的漏洞可能允许攻击者绕过Multifactor认证(MFA)系统,Identity Management Compy OKTA的研究人员发现。

在OKTA的研究和开发(REX)团队的日常技术评估期间发现了该脆弱性,该团队定期审查内部和商业软件的代码基础。

Rex Security Engineer Andrew Lee发现,只要他们在同一ADFS服务上完全访问用户凭据即可绕过MFA保护措施,漏洞可能会允许恶意演员。

根据Lee的说法,这类似于为建筑物拍房间钥匙并将其转化为在建筑物中的每扇门上工作的骨架钥匙。

他说,这种脆弱性是由于未能加密地强制执行主要凭证和第二因素之间的关系的完整性和真实性。

鉴于Discovery的含义,OKTA通知Microsoft,它发出了软件更新(修补程序)来删除漏洞。

研究人员警告说,任何未能解决这种漏洞的组织都无法解决这一漏洞的能力展示了扩大妥协的能力,以围绕组织的网络迁移并控制特权账户,并控制特权账户。

他们正在敦促组织从微软应用安全更新,因为只有一个流氓内幕或攻击者,他们设法妥协了单个员工的凭据可以做很多伤害。这是因为它们可能会损害组织各级的员工,以获得对商业敏感信息的访问,例如财务数据或公司专利。

研究人员说,财务影响可能对组织遭到灾难性,也可能对客户,客户或合作伙伴产生影响。

根据LEE,与MFA产品集成的Microsoft ADFS协议的未咬合版本的弱点允许一个帐户的第二个因素用于组织中的所有其他帐户。

如果单个用户的密码和第二个因素受到损害,他发现它们的第二个因素可以用于组织中的其他任何人,使得获得有限的访问能够扩大到更有价值的目标的攻击者更容易。

李某表示,此漏洞最佳地解决了ADF中的所有MFA产品,并提出了运行Microsoft ADF的所有组织来修补其系统。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。