Microsofts multifactor-authenticatie was makkelijk te omzeilen

Andrew Lee, medewerker van Okta, ontdekte de zwakte in het ADFS-protocol, gebruikt voor integratie met authenticatie-producten. Door de kwetsbaarheid konden hackers zichzelf eenvoudig toegang verschaffen tot de credentials van een andere gebruiker, mits aan enkele voorwaarden werd voldaan.

Tweede trap

De kwetsbaarheid van de tweetraps-authenticatie, die de naam CVE-2018-8340 meekreeg, zat voornamelijk in de tweede trap. De tweede factor van het ene account, kon tegelijkertijd als tweede factor voor iedere gebruiker worden gebruikt. Kort gezegd kon men dus op ieder account inloggen, mits men de eerste trap door wist te komen door inlognaam en wachtwoord te onderscheppen en het invoeren van dezelfde code als de tweede factor, zoals die eerder was onderschept. 

Andere vereiste was dat beide accounts onderdeel waren van dezelfde Active Directory (AD). Volgens Andrew Lee van Okta kon de kwetsbaarheid bijvoorbeeld worden uitgebuit door een kwaadwillende insider, of een uitbuiting van een gebruiker die het eigen account niet actief gebruikt en nog geen tweede factor heeft ingesteld. 

Microsoft werd op 19 april door Okta ingelicht over het lek en heeft inmiddels een beveiligingsupdate uitgebracht.