你知道的东西,你黑客的东西
更新渗透测试人员能够绕过二人安全的两因素验证(2FA)在使用整洁但不威胁黑客的客户参与期间控制在客户参与期间进行控制。
Orange Cyberdefense的Sensepost团队的Shaun Kammerling和Michael Kruger发现,攻击者可以访问用户的登录详细信息和2FA凭据,因此可以登录不同的用户帐户,而无需物理访问受害者的身份验证设备。
这个技巧只能在同一二人部署上与两个帐户一起使用,但是研究人员能够将受害者的2FA推送通知重定向到攻击者控制的设备,这使他们能够授权访问受害者帐户。
这脆弱性由于使用Duo的技术在2FA期间如何管理会话信息的缺陷而出现。
绕过身份验证
SensePost团队于2020年12月向Duo报告了该问题,安全供应商迅速采取了行动以解决该问题。
几个月过去了,在二人组和研究人员都公开介绍该问题的细节之前,要进行更改的时间以及要评估的问题的潜在影响。
在咨询,二人解释了问题的根本原因:
当用户对第二个因素进行身份验证时,表示身份验证与当前用户的会话无关的状态。
因此,攻击者可以从成功的第二个因素身份验证中重用状态信息,以绕过另一个用户的两因素身份验证要求。
二人安全,一个思科系统自2018年以来拥有的业务,在报告后的第二天就解决了该问题。修复程序会自动出现,因此客户无需做任何事情。
“没有恶意活动”
后来的二人组审计“没有发现任何客户影响此问题的证据”。
它说:“除了验证研究人员的测试外,我们还确定了可能遇到此问题的数十亿个身份验证事件中的一个例子,并且经过进一步的调查,没有迹象表明这是恶意活动的结果。”
完整的技术细节可以在橙色网络防御博客。
回答来自每日swbeplay2018官网ig关于2FA旁路发现,Sensepost的Leon Jacobs提供了简短的摘要。
雅各布斯解释说:“简而言之,有一个国家问题将用户的会话与2FA尝试联系在一起。”“影响力,如果攻击者在同一二人部署中,他们可以通过将提示重定向到自己的设备来绕过2FA。”
此故事的更新是为了添加Sensepost的Leon Jacobs的评论
