企业要小心了,Exchange Server 服务器的双因子验证漏洞百出

xiaohui 漏洞 2016年11月9日发布
Favorite收藏

导语:企业运行的 Exchange Server 服务器存在设计缺陷,黑客可以绕过 Outlook Web Access(OWA)设置的双因素身份验证(2FA),盗取企业的邮箱信息,联系人,日历和其他敏感数据。

企业运行的 Exchange Server 服务器存在设计缺陷,黑客可以绕过 Outlook Web Access(OWA)设置的双因素身份验证(2FA),盗取企业的邮箱信息,联系人,日历和其他敏感数据。

Exchange Server 服务器的设计缺陷是由BLACK HILLS的研究员 Beau Bullock 发现的。Beau Bullock 早在9月28号就向微软报告了这个漏洞,可直到现在,微软对于此漏洞还没有做出任何的反应。

双因子认证没有保护好Exchange服务器

研究发现,OWA的双因子认证是由第三方DUO Security公司提供的,但这次的黑客攻击却不是DUO Security公司的产品引起的,而是由于双因子认证没有起到对微软的Exchange服务器的保护作用,进而导致Exchange服务器的Web接口暴露。Bullock 称主要的问题在于 OWA 服务与 Exchange WebServices(EWS)服务在同一个 Web 服务器上运行、共享同一端口并且都默认启用。虽然 OWA 上启用了 2FA ,但是 EWS 认使用单因素身份验证,攻击者可通过攻击 EWS 实现入侵 OWA 服务器。

Bullock使用了一个叫做MailSniper的工具,来爬取微软的Exchange服务器上有关邮箱的敏感信息。MailSniper的工作原理是当连接到Exchange Web serveices(EWS)服务器上的时候,会尝试获取用户的收件箱。EWS是一个Web接口,当用户在部署客户端的时候,微软建议使用EWS来和Exchange服务器交互。当使用EWS之后,应用就可以从用户的收件箱获取的邮箱信息,联系人,日历等。

Bullock表示:

某些公司在OWA上关闭了双因子验证,所以在OWA上面登录的时候,你必须提供一个验证,但是这样就有被攻击的危险,因为双因子验证实际并没有起到应有的作用。所以我猜想如果EWS没有使用双因子验证,那么使用MailSniper就有可能读取到用户的邮件,完全绕过双因子安全验证。

验证问题确实存在

为了验证这个想法,Bullock设置了OWA,并且安装了DUO security公司的双因子验证软件–Duo for Outlook。在手机上设置了DUO的移动应用,并且登录OWA使用测试用户账户"vladi@eldershogun.com"。在使用手机同步了DUO之后,如果登录账户认证,手机就可以收到的确认通知。这一步完成之后,如果是黑客,同时没有手机同步DUO软件的双因子验证,在登录OWA之后黑客就不可能有其他进展了。

MailSniper只有在设置了主机域名之后才可以工作。但如果修改了部分代码,添加了"-Remote"选项,这样Invoke-Selfsearch函数就可以远程工作。另外还需要修改才可以获取收件箱。首先,需要确定公司使用的外部邮箱服务器。一般情况来说,可以使用Autodiscover搜索,邮箱服务器需要使用'-ExechHostname'参数来指定。如果这个参数没有指定,Invoke-selfSearch就会自动尝试获取邮箱服务器。其次,用户的密码凭证需要先收集起来。一旦Exchange服务器和用户的密码凭证收集之后,下面的命令可以用来在网络上搜索邮箱。

Invoke-SelfSearch-Mailboxemail@domain.com-ExchHostnamemail.domain.com-Remote

上面的命令运行之后,授权凭证窗口就会出现,要求输入目标用户的登陆凭证。这里是输入内部邮箱地址还是输入域帐号取决于该组织的设定。在用户凭证输入之后,MailSniper会尝试连接EWS的这个URL:https://mail.domain.com/EWS/Exchange.asmx。并且在用户的收件箱搜索相关关键词内容。

在使用这种方法设置了DUO双因子验证的账户上尝试攻击。MailSniper可以成功绕过双因子验证并且搜索到相关邮件。

为了更深入证明这个不是DUO双因子验证的问题,BHIS公司设置了Office365并且利用微软自己的工具Azure Multi-Factor Autoentication(MFA)来保护用户从Office365登录到Outlook邮箱,结果证明攻击者仍然可以绕过双因子验证来读取用户的收件箱。.

Bullock推测目前使用Exchange Server的其他产品很可能也面临着这样类似的问题,比如MAPI over HTTP和Autodiscover。

本文翻译于:securityaffairs,如若转载,请注明来源于嘶吼: http://www.4hou.com/vulnerable/900.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论