Himmelblau Authentication Bypass in Device Authorization Grant Flow

漏洞概述 漏洞名称: Authentication Bypass via Cross-User Local Session Impersonation in Device Authorization Grant (DAG) Flow 描述: Himmelblau 在设备授权授予（DAG）流中存在一个身份验证绕过漏洞，允许同一 Entra ID 域中的用户使用另一个用户的有效凭据获取本地 Unix 会话。该漏洞存在于 函数中，该函数验证域别名以支持合法的多域场景，但未能验证授权用户的 UPN 是否与请求的账户用户名匹配。函数仅比较域名，而非完整的用户名。 重要范围限制: 本地访问仅限: 攻击者获得对受害者本地文件、主目录和 Unix 会话的访问权限，但底层 Entra 令牌仍属于攻击者自己。攻击者无法访问受害者的 Entra 账户、SSO 会话、云资源或 Azure 服务。 仅限 DAG 流: 此漏洞仅影响设备授权授予（QR 码）身份验证流。Hello PIN 身份验证完全不受影响。 需要相同域名: 攻击者必须是同一配置域中的用户（例如，both alice@example.com 和 bob@example.com）。外部用户（bob@hacker.com）无法利用此漏洞。 配置依赖: 最常见于 在 himmelblau.conf 中（MFA 默认禁用）。 MFA 回退边缘情况: 即使启用了 MFA，如果 MFA 流中断，系统可能会回退到 DAG，尽管这不受攻击者控制。 影响范围 受影响者: 运行 Himmelblau 且 （非默认配置）的组织。 在身份验证中断期间可能回退到 DAG 的系统。 在共享工作站上部署了多个来自同一 Entra ID 域的用户。 用户主目录中存在敏感本地数据的环境。 内部威胁场景（恶意或好奇的同事，具有物理访问权限）。 不受影响者: 使用 Hello PIN 身份验证的环境——Hello PIN 身份验证完全不受影响，暴露仅限于用户回退到 DAG 的情况。 默认安装（启用了 MFA）在正常操作下。 用户位于不同域的组织。 仅通过云/SSO 访问敏感数据的环境（不存储在本地）。 漏洞类型: 身份验证绕过 / 本地特权升级 攻击者获得: 对受害者本地文件和主目录的完全读写访问权限。 以受害者 Unix 用户身份运行进程的能力。 访问受害者的本地 SSH 密钥、shell 历史、配置文件、缓存凭据。 访问受害者的活动进程和会话状态（如果解锁了锁定屏幕）。 修改受害者本地文件、安装后门、删除本地数据的能力。 攻击者未获得: 访问受害者的 Entra ID 账户或密码。 访问受害者的 SSO 会话或云资源（Microsoft 365、Azure 等）。 受害者的 Entra 身份验证令牌或刷新令牌。 以受害者身份在云服务中执行操作的能力。 修复方案 补丁: 漏洞已在提交 中修复。 修复版本: 版本 3.1.5、2.3.11 及更高版本。 2026-05-08 之后的主分支。 易受攻击版本: 2.0.0 和 3.1.5 或 2.3.11 之间的所有版本。 建议: 用户应升级到最新版本。运行 的组织应优先考虑此更新。 变通方法: 如果立即修补不可行，以下缓解措施可消除或显著降低风险： 1. 使用 Hello PIN 身份验证（强烈建议）：配置用户使用其 Linux Hello PIN 进行身份验证。Hello PIN 身份验证完全不受此漏洞影响。这是最有效的缓解措施，并保持无密码身份验证的便利性。 2. 启用 MFA 身份验证流（建议）：确保 在 himmelblau.conf 中（这是默认设置）。这减少了攻击面，仅在 MFA 回退到 DAG 的边缘情况下。 3. 最小化本地敏感数据：将敏感数据存储在云服务中，而不是本地文件系统中。 4. 物理访问控制：限制物理/控制台访问以保护信任用户。 5. 监控身份验证日志：监控不匹配账户的 身份验证日志（修复后将拒绝这些“已认证用户 X 不匹配请求用户”）。 注意: 缓解措施 #1（Hello PIN）和 #2（启用了 MFA，这是默认设置）提供强大的保护。启用这些选项的环境只有非常狭窄的边缘情况。 参考: 修复提交： 原始域别名问题：Bug #801 管理员建议: 1. 检查身份验证配置：验证您的 himmelblau.conf 设置： - 默认配置（两者都启用）：如果 （默认）和 （默认）都设置（或左未设置），您的暴露极低——遇到 DAG 流的机会非常小。 - 风险级别： - 两者都启用（默认）：极低风险——DAG 使用很少。 - 要么 Hello 要么 MFA 启用：低至中等风险——一些 DAG 回退场景。 - 两者都禁用（非默认）：高风险——DAG 使用更频繁。 2. 审查身份验证日志：检查可疑跨用户身份验证： - 在易受攻击的版本中，此日志行不会在利用期间出现。 3. 评估您的风险：考虑： - 您是否运行默认配置（Hello + MFA 两者都启用）？如果是，风险非常低。 - 您是否在共享工作站上有来自同一域的多用户？ - Hello 或 MFA 是否在您的配置中明确禁用？ - 敏感数据是否存储在本地主目录中（SSH 密钥、凭据、源代码等）？ - 您的环境中是否存在内部威胁担忧？ 4. 尽可能更新：即使启用了默认安全配置（两者都启用），更新以消除所有边缘情况风险。禁用了 Hello 或 MFA 的组织应优先考虑此更新。

Goal Reached Thanks to every supporter — we hit 100%!

Himmelblau Authentication Bypass in Device Authorization Grant Flow

More from this source