A vulnerabilidade encontrada no serviço Microsoft Active Directory Federation Services (ADFS) permite que um segundo fator de autenticação para uma conta seja utilizada para todas as outras contas em uma organização, de acordo com o engenheiro de segurança da Okta REX, Andrew Lee.

Empregando simples técnicas de phishing e aproveitando-se da falha, um atacante pode comprometer contas de outros empregados ou executivos e acessar informações sensíveis por meio de vários recursos da empresa.

A vulnerabilidade em questão é a CVE-2018-8340 e possui alguns cenários de ataque conhecidos. Sua descoberta surge do fato de que o protocolo verifica as credenciais e o segundo fator de autenticação quanto à validade, mas não se o segundo fator está associado à conta que está sendo conectada.

O indivíduo mais propenso a realizar um ataque bem-sucedido é um usuário malicioso com sua própria conta legítima. Em uma conta com poucos privilégios o atacante pode aproveitar-se dessa vulnerabilidade para comprometer uma conta com altos privilégios. Um atacante ainda pode comprometer uma conta para a qual um proprietário legítimo ainda não inscreveu um segundo fator ou, pode ainda, utilizar-se de engenharia social na equipe de TI para resetar a autenticação de segundo fator da conta que ele pretende comprometer.

A falha já foi relatada a Microsoft e ontem, dia 14 de agosto, a empresa lançou patches para a correção. Segundo Lee, o patch deve corrigir a vulnerabilidade sem aplicar nenhuma atualização aos agentes do ADFS.

Para mais informações sobre a vulnerabilidade, clique aqui.