Фишинг обошёл даже защищённую MFA: Обнаружена новая уязвимость в Microsoft Entra ID

В мире кибербезопасности появилась ещё одна тревожная новость. Исследователи безопасности выявили новый метод, позволяющий обойти многофакторную аутентификацию (MFA), устойчивую к фишингу, в системе Microsoft Entra ID.

Этот метод изначально был протестирован в рамках соревнования Capture The Flag (CTF) под названием EntraIDiots, где участникам предоставлялся доступ только через MFA, защищённую от фишинга. Однако исследователи обнаружили, что, внося изменения в определённые параметры запроса аутентификации, можно обмануть систему.

Опасная техника реализуется через следующие шаги:

1. Жертва заходит на специально подготовленную вредоносную веб-страницу.
2. Эта страница вызывает интерфейс входа Microsoft, который содержит следующие данные:
   • Уникальный идентификатор для Authentication Broker: 29d9ed98-a469-4536-ade2-f981bc1d605e.
   • Адрес службы регистрации Microsoft.
   • Ключевой параметр: amr_values=ngcmfa, который делает MFA обязательной.
   • Адрес перенаправления: ms-appx-web://Microsoft.AAD.BrokerPlugin.
3. После того как жертва проходит MFA, хакеры получают код авторизации (authorization code).
4. Используя этот код, они могут:
   • Зарегистрировать новое устройство в системе Entra ID.
   • Получить Primary Refresh Token (PRT).
   • Зарегистрировать ключ Windows Hello for Business (WHFB).
   • Создать новый PRT на основе этого ключа.

Таким образом, хакеры создают постоянный backdoor (чёрный ход) в системе. Самое опасное — этот процесс практически незаметен в аккаунте пользователя.

Почему этот метод опасен?

• Скрытый ключ доступа не отображается в списке методов аутентификации пользовательского аккаунта.
• Даже администраторы не могут увидеть свои собственные методы аутентификации — для этого требуется другой администратор.
• Журналы аудита не предоставляют достаточно информации, что значительно затрудняет обнаружение угрозы.

Как защититься?

Исследователи рекомендуют следующие меры:

• Сделать MFA, устойчивую к фишингу, обязательной для всех пользователей.
• Внедрить системы предупреждения против атак типа Adversary-in-the-Middle (AiTM).
• Ограничить регистрацию устройств в Entra ID.
• Строго контролировать политики соответствия (compliance policies).
• Ограничить или полностью отключить Device Code Flow.

Авторы исследования рассматривают этот подход как продолжение метода фишинга PRT, разработанного Dirk-jan Mollema в 2023 году. Разница в том, что теперь атака работает даже в средах, где MFA является обязательной, заставляя пользователя пройти аутентификацию обманным путём, что позволяет захватить систему.

Этот случай служит тревожным примером для пользователей Microsoft Entra ID. Любая система, даже оснащённая самыми современными средствами защиты, может оставаться уязвимой без многоуровневой и глубоко продуманной стратегии безопасности. Переход на беспарольную аутентификацию — это не полноценное решение, а лишь часть комплексного подхода к безопасности.