微軟ADFS含有可繞過多因素認證的安全漏洞

身分管理服務供應商Okta的安全工程師Andrew Lee日前揭露，微軟的Active Directory同盟服務（Active Directory Federated Services，ADFS）在處理多因素身分認證（Multi-Factor Authentication，MFA）請求時會產生漏洞，將允許某個帳號的第二認證因素成為該組織所有帳號的第二認證因素。

ADFS是微軟所開發的、支援MFA的身分認證系統，主要應用於Windows Server上，可搭配微軟或第三方的MFA供應商的服務，扮演企業守門員的角色。有許多企業都仰賴ADFS進行整個組織的身分與資源管理，以達到單一簽入（Single Sign On）目標。

根據Lee所描述的攻擊場景，若駭客已經持有Bob的使用者名稱、密碼，以及第二個認證因素時，若要以Alice的身分登入，只要知道Alice的帳號與密碼，就能以Bob的第二個認證因素作為Alice的第二個認證因素，前提是Bob與Alice位於同樣的AD組織中。

問題出現在AD伺服器只能驗證它所發行的MFA令牌，但無法驗證該令牌屬於哪個身分，因而允許駭客利用Bob的第二認證因素來登入Alice的帳號。

Lee說，該漏洞影響所有採用ADFS 3.0官方整合API的MFA解決方案。另一方面，微軟則說明成功開採該漏洞的駭客只能繞過一部份、而非所有的認證因素。

微軟已於本周的Patch Tuesday修補了此一編號為CVE-2018-8340的安全漏洞，主要是修正了ADFS處理多因素認證請求的方式。