Attualmente sto studiando la distribuzione di un server Active Directory Federation Services (ADFS) per fornire Single Sign-on per vari servizi. Per impostazione predefinita, ADFS abilita il supporto per Protezione estesa per l'autenticazione ( EPA) per proteggere dagli attacchi man-in-the-middle contro l'autenticazione integrata di Windows (IWA). Questo è tutto a posto, ma nessun browser Web attualmente supporta EPA ad eccezione di Internet Explorer (il che è piuttosto spiacevole dato quanto tempo è stato disponibile EPA per proteggersi da questa vulnerabilità). La standardizzazione su Internet Explorer non è un'opzione valida per noi e quindi questo lascia la disattivazione dell'EPA come unica altra opzione se vogliamo abilitare l'autenticazione senza interruzioni ai servizi supportati dai client di rete interni. Sono curioso di conoscere altri approcci più duraturi che potrebbero essere utilizzati per mitigare il rischio di disabilitare l'EPA, con la consapevolezza che nessuno di questi rimuoverà a titolo definitivo la vulnerabilità sottostante che l'EPA cerca di risolvere (almeno, nessuno di me consapevole di).
La mia idea era che, a parte la whitelist richiesta da tutti i principali browser nella configurazione predefinita per gli URL in cui è consentito l'utilizzo di IWA, era necessario eseguire una sorta di blocco del certificato rispetto ai certificati utilizzati sul server SSO (S). In questo senso, un utente malintenzionato teorico dovrebbe sia impersonare uno degli URL autorizzati e avere anche accesso alla chiave privata per uno dei certificati a cui è rivolto il browser per l'URL. Questo naturalmente non impedisce apertamente l'attacco che l'EPA cerca di prevenire, così come lo comprendo, ma presumibilmente farebbe eseguire il MitM per effettuare l'attacco in modo sostanzialmente più difficile, dato che avresti bisogno di:
- Conoscenza di uno degli URL autorizzati che deve essere MitM ( non eccessivamente difficile )
- Accesso alla chiave privata di uno dei certificati aggiunti ( assumere molto difficile )
- Possibilità di rompere la crittografia del certificato esistente ( attualmente impossibile )
Quindi le mie domande sono:
- Il modo di pensare dietro a quanto sopra è generalmente valido o ci sono grosse lacune?
- Se non lo sono altri passaggi alternativi che potrebbero essere adottati per ridurre il rischio di disabilitare l'EPA?