亚洲中字慕日产2020,大陆极品少妇内射AAAAAA,无码av大香线蕉伊人久久,久久精品国产亚洲av麻豆网站

資訊專欄INFORMATION COLUMN

新的 Azure AD 漏洞讓黑客在不被發(fā)現(xiàn)的情況下暴力破解密碼

go4it / 1579人閱讀

摘要:表示,它在月日通知了微軟這一問題,但微軟在月日承認這一行為是故意的。微軟表示對上述端點的暴力攻擊實施了保護措施,并并且發(fā)布的令牌不提供對數(shù)據(jù)的訪問,并補充說它們需要提交回以獲取實際令牌。

網(wǎng)絡安全研究人員披露,微軟Azure Active Directory使用的協(xié)議存在一個未修補的安全漏洞,潛在的對手可能會濫用該漏洞,發(fā)動未被發(fā)現(xiàn)的暴力破解攻擊。

Secureworks反威脅小組(CTU)的研究人員在發(fā)表的一份報告中稱:“這個漏洞允許威脅參與者對Azure Active Directory (Azure AD)執(zhí)行單因素暴力攻擊,而無需在目標組織的租戶中生成登錄事件。”

Azure Active Directory是微軟基于企業(yè)云的身份和訪問管理(IAM)解決方案,專為單點登錄(SSO)和多因素認證而設計。它也是Microsoft 365(以前的Office 365)的核心組件,具有通過OAuth向其他應用程序提供身份驗證的功能。

缺點在于無縫單點登錄(Seamless Single sign - on)功能,該功能允許員工在使用連接到企業(yè)網(wǎng)絡的公司設備時自動登錄,無需輸入任何密碼。無縫SSO也是一種“機會主義特性”,因為如果進程失敗,登錄會退回到默認行為,即用戶需要在登錄頁面上輸入密碼。

圖片3.png

為了實現(xiàn)這一點,該機制依賴于Kerberos協(xié)議在Azure AD中查找相應的用戶對象,并發(fā)出票據(jù)授予票據(jù)(TGT),允許用戶訪問相關資源。但是對于Exchange Online的用戶,使用的Office客戶端比Office 2013年5月2015年5月的更新版本更老,身份驗證是通過一個名為“usernamemixx”的基于密碼的端點進行的,該端點根據(jù)憑證是否有效生成訪問令牌或錯誤代碼。

正是這些錯誤代碼導致了缺陷漏洞。雖然成功的身份驗證事件會在發(fā)送訪問令牌時創(chuàng)建登錄日志,但“Autologon對Azure AD的身份驗證不會被記錄”,允許通過usernamemixx端點利用這一疏忽進行未檢測到的暴力攻擊。

Secureworks表示,它在6月29日通知了微軟這一問題,但微軟在7月21日承認這一行為是“故意的”。在接受《黑客新聞》采訪時,該公司表示:“我們審查了這些聲明,確定所描述的技術不涉及安全漏洞,并采取了保護措施,以幫助確??蛻舻陌踩?。

微軟表示對上述端點的暴力攻擊實施了保護措施,并并且UserNameMixed API 發(fā)布的令牌不提供對數(shù)據(jù)的訪問,并補充說它們需要提交回 Azure AD 以獲取實際令牌。

該公司指出,此類訪問令牌請求受到條件訪問、Azure AD多重身份驗證、Azure AD 身份保護的保護,并出現(xiàn)在登錄日志中。

安全漏洞將軟件置于危險之中。數(shù)據(jù)顯示,90%的網(wǎng)絡安全事件和軟件漏洞被利用有關,在軟件開發(fā)期間通過靜態(tài)代碼檢測技術可以幫助開發(fā)人員減少30%-70%的安全漏洞,大大提高軟件安全性。當前,通過提高軟件自身安全性以確保網(wǎng)絡安全,已成為繼傳統(tǒng)網(wǎng)絡安全防護軟件之后的又一有效手段。

參讀鏈接:

thehackernews.com/2021/09/new…

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/122216.html

相關文章

  • [轉(zhuǎn)]MD5(1)-安全性與原理

    摘要:沒錯,年的破解就是證明了在碰撞上面不可靠,也就是可以通過某種方式快速的找到具有相同散列值的另一個信息。好,第二個不安全的誤區(qū)來了上述破解過程對于絕大多數(shù)散列函數(shù)來說,基本上都是一個道理。 轉(zhuǎn)載請注明出處 http://www.paraller.com 原文排版地址 點擊獲取更好閱讀體驗 轉(zhuǎn)載: http://blog.sina.com.cn/s/blog_77e8d1350100w...

    ideaa 評論0 收藏0

  • 安全開發(fā)筆記

    摘要:登錄注冊安全風險登錄注冊的風險點主要有四個暴力破解撞庫遍歷注冊用戶批量注冊。引入了驗證碼機制同樣引入了額外的安全風險,比如短信驗證碼的短信炸彈風險圖形驗證碼的可繞過可識別等。 概述 很多技術研發(fā)不了解安全,也不重視安全,只有在自己的服務器被黑掉、被掛馬、被脫褲才想起關注安全,但是這個時候,技術架構(gòu)已經(jīng)成型、代碼已經(jīng)在線上穩(wěn)定運行,再亡羊補牢,改代碼、改策略,往往成本巨大、確收效很低。所...

    Cruise_Chan 評論0 收藏0

  • 網(wǎng)絡安全態(tài)勢可視化

    摘要:安全態(tài)勢可視化系統(tǒng)的目的是生成網(wǎng)絡安全綜合態(tài)勢圖,以多視圖多角度多尺度的方式與用戶進行交互。可以看到,黑客攻擊是無處不在,無時不有的,世界互聯(lián)網(wǎng)的安全態(tài)勢并不如我們印象中那么隱蔽和少見。 導語 網(wǎng)絡態(tài)勢可視化技術作為一項新技術,是網(wǎng)絡安全態(tài)勢感知與可視化技術的結(jié)合,將網(wǎng)絡中蘊涵的態(tài)勢狀況通過可視化圖形方式展示給用戶,并借助于人在圖形圖像方面強大的處理能力,實現(xiàn)對網(wǎng)絡異常行為的分析和檢測...

    testHs 評論0 收藏0

  • 【譯】Nodejs應用安全備忘錄

    摘要:所以我們整理了一個應用安全備忘錄,以幫助你在部署啟動應用程序的時候進行安全檢查。這可以保護應用程序不被攻擊。應該用日志記錄下來,而不是顯示給用戶。 本人的博客http://www.wjs.photo/,感興趣的可以看看哦,基于NodeJs框架ThinkJs 本文翻譯自 www.risingstack.com ,并非逐字逐句的翻譯,有錯誤的地方請指出,謝謝啦 應用程序的安全就像是你房間里...

    Loong_T 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<