SAML-protokolfejl lader hackere logge ind som andre brugere

En sårbarhed i, hvordan nogle produkter har implementeret en enkelt log-on-protokol, der lader brugere logge ind på websteder og tjenester med et enkelt brugernavn og adgangskode kunne lade en angriber logge ind i stedet.

Fejlen ligger ikke i den åbne autentificeringsstandard, mere i, hvordan skabere af adgangskode- og onlineidentitetsadministratorer har implementeret koden, ifølge sikkerhedsfirmaet Duo.

Single sign-on-løsninger bruges almindeligvis af virksomhedskunder, der bruger deres virksomheds login-oplysninger og gennem en tredjeparts identitetstjeneste, kan logge ind på andre onlinesider og -tjenester, såsom e-mail og sociale mediekonti lynhurtigt.

Men denne nye sårbarhed lader en angriber tage det autentificerede svar på en login-anmodning og skifte en del med en angribers oplysninger i stedet for.

Det betyder, at en angriber kan logge ind, som om de var det offer, de var rettet mod.

Udnyttelsen fungerer ved at ændre svaret, når et brugernavn og en adgangskode er blevet bekræftet. Det sender derefter en besked tilbage til brugerens browser for at logge dem ind. Hvis en angriber ændrer svaret, er det også meningen, at den validerende signatur skal ændre sig - men hvis signaturerne ikke kontrolleres korrekt, er systemet ikke desto klogere. Duo-forskere sagde, at resultaterne af angrebet "varierer meget" mellem tjenester, der er truet af fejlen.

"Tilstedeværelsen af ​​denne adfærd er ikke stor, men ikke altid udnyttelig," sagde forskningen, fordi forskellige opsætninger giver forskellige resultater.

Forskerne arbejdede tæt sammen med Carnegie Mellon Universitys offentlige sårbarhedsdatabase CERT, som udstedt sin egen vejledning tirsdag, som led i bestræbelserne på ansvarligt at afsløre fejlen til flere virksomheder.

Duos eget netværksgateway-produkt var sårbart over for SAML-implementeringsfejlen, sagde forskerne, advare brugere om at opgradere deres firmware.

Flere virksomheder, der er berørt af sårbarheden, herunder Clever, reagerede ikke på en anmodning om kommentarer før offentliggørelsen.

En talsmand for OneLogin bekræftede, at virksomheden var påvirket af implementeringsfejlen.

"Der kræves ingen handling for brugere af selve OneLogin-platformen; den påkrævede handling er for udviklere, der vedligeholder apps, der er afhængige af nogen af ​​de værktøjssæt, der er angivet i sikkerhedsrådgivningen, for at bruge de medfølgende patchede versioner," sagde talsmanden.

En talsmand for Shibboleth, et open source single sign-on-projekt, reagerede og udtrykte taknemmelighed over for forskerne.

"At finde dette var et meget værdifuldt stykke arbejde af Duo, som vi bestemt er taknemmelige for," siger Scott Cantor, en udvikler, i en e-mail. "Vi havde en meget lignende fejl for nylig, som blev rettet i sidste måned, og dette var en generalisering af problemet. Vi besluttede at gense den berørte del af koden og lave den om fra bunden for at undgå lignende fejl i fremtiden."

Cantor sagde, at færre Shibboleth-implementeringer sandsynligvis vil blive påvirket, fordi projektet kræver XML kryptering, som beskytter følsomme data i transit, men andre websteder og tjenester "ser ud til at være uvillige til det support."

"Mange cloud-udbydere nægter at understøtte XML-kryptering, og de er sandsynligvis blandt dem, der vil blive berørt," sagde han. "Vi forventer at teste for og finde sårbare implementeringer i vores samfund i et stykke tid efter dette."

Forskerne sagde, at konti med to-faktor opsætning er mindre tilbøjelige til at blive hacket uden tilladelse, da det andet token sendes til ejerens telefon og er meget sværere at opsnappe.