微软ADFS含有可绕过多因素认证的安全漏洞

身份管理服务供应商Okta的安全工程师Andrew Lee日前揭露，微软的Active Directory同盟服务（Active Directory Federated Services，ADFS）在处理多因素身份认证（Multi-Factor Authentication，MFA）请求时会产生漏洞，将允许某个账号的第二认证因素成为该组织所有账号的第二认证因素。

ADFS是微软所开发的、支援MFA的身份认证系统，主要应用于Windows Server上，可搭配微软或第三方的MFA供应商的服务，扮演企业守门员的角色。有许多企业都仰赖ADFS进行整个组织的身份与资源管理，以达到单一签入（Single Sign On）目标。

根据Lee所描述的攻击场景，若骇客已经持有Bob的使用者名称、密码，以及第二个认证因素时，若要以Alice的身份登入，只要知道Alice的账号与密码，就能以Bob的第二个认证因素作为Alice的第二个认证因素，前提是Bob与Alice位于同样的AD组织中。

问题出现在AD服务器只能验证它所发行的MFA令牌，但无法验证该令牌属于哪个身份，因而允许骇客利用Bob的第二认证因素来登入Alice的账号。

Lee说，该漏洞影响所有采用ADFS 3.0官方整合API的MFA解决方案。另一方面，微软则说明成功开采该漏洞的骇客只能绕过一部分、而非所有的认证因素。

微软已于本周的Patch Tuesday修补了此一编号为CVE-2018-8340的安全漏洞，主要是修正了ADFS处理多因素认证请求的方式。