Bereits im Juni 2021 fand das Security-Research-Team von Secureworks eine Schwachstelle im Protokoll-Feature „Seamless Single Sign-On“ (SSO) von Azure Active Directory. Diese Funktion erleichtert die Nutzung einer großen Anzahl von Diensten, indem User automatisch eingeloggt werden.
Normalerweise werden Anmeldeversuche über diesen Weg protokolliert. Um die Funktion auch für Office 2013 zu ermöglichen, existiert allerdings ein alternativer Endpoint. Es stellte sich nun heraus, dass ein Autologin über diesen Endpoint zu keinem Log-Eintrag führte. So konnte dieser für Brute-Force-Angriffe genutzt werden, ohne dass diese bemerkt werden konnten.
Microsoft reagierte erst nach der Veröffentlichung der Schwachstelle Ende September 2021: Nun werden auch die Anmeldungen über den betroffenen Endpoint in den Logs aufgezeichnet.
https://www.secureworks.com/research/undetected-azure-active-directory-brute-force-attacks