Kwetsbaarheid in Microsoft ADFS laat hackers makkelijk tweetrapsverificatie omzeilen

Er is een nieuwe kwetsbaarheid ontdekt in de Active Directory Federation Services (ADFS) van Microsoft. Die stelt hackers ertoe in staat om beveiligingsmaatregelen te omzeilen en zichzelf zo toegang te verschaffen tot belangrijke onderdelen van programma’s. Het gaat om een kwetsbaarheid in de multifactor authenticatie.

De kwetsbaarheid werd ontdekt door Okta-medewerker Andrew Lee. Hij ontdekte een manier voor hackers om zichzelf toegang te verschaffen tot de credentials van een andere gebruiker, die op dezelfde ADFS-dienst zit. Als iemand al een wachtwoord gehackt heeft, kan de tweede controle – bijvoorbeeld een sms-code – gebruikt worden om op de account van zo’n beetje iedere andere gebruiker in te loggen.

Geen handtekening

Volgens Lee lijkt de kwetsbaarheid, die de naam CVE-2018-8340 gekregen heeft, er een beetje op alsof iemand de sleutel van een gebouw in handen heeft en die gebruikt als loper die op alle andere deuren werkt. De kwetsbaarheid stelt de gebruiker ertoe in staat die loper buit te maken.

Dat komt vooral doordat er geen relatie wordt vastgesteld tussen de twee zaken die iemands identiteit moeten bevestigen. ADFS controleert enkel de handtekening in de credentials en dus niet of er een koppeling tussen de twee bestaat. Gelukkig voor gebruikers van tweetrapsverificatie binnen ADFS, is er al een patch.

Heeft tweetrapsverificatie een toekomst?

Microsoft heeft die patch uitgebracht naar iedereen wiens apparaat nog niet up-to-date was. Het risico was volgens Okta enorm. “Als één medewerker binnen een gigantisch, wereldwijd bedrijf, dat zou willen – of als een kwaadwillende de account van een medewerker gehackt zou hebben – dan zouden ze veel schade aan kunnen richten aan nietsvermoedende collega’s, senior executives of zelfs de CEO.”

De vraag is hoe dan ook of tweetrapsverificatie zoals het nu toegepast wordt wel werkt. Google biedt nu de mogelijkheid om mensen enerzijds een digitale en anderzijds een fysieke sleutel te laten gebruiken om in te loggen. Dat schijnt zo veilig te zijn, dat het bedrijf intern geen geslaagde phishing-pogingen meer heeft meegemaakt.