企业要小心了，Exchange Server 服务器的双因子验证漏洞百出

企业运行的 Exchange Server 服务器存在设计缺陷，黑客可以绕过 Outlook Web Access（OWA）设置的双因素身份验证（2FA），盗取企业的邮箱信息，联系人，日历和其他敏感数据。

Exchange Server 服务器的设计缺陷是由BLACK HILLS的研究员 Beau Bullock 发现的。Beau Bullock 早在9月28号就向微软报告了这个漏洞，可直到现在，微软对于此漏洞还没有做出任何的反应。

双因子认证没有保护好Exchange服务器

研究发现，OWA的双因子认证是由第三方DUO Security公司提供的，但这次的黑客攻击却不是DUO Security公司的产品引起的，而是由于双因子认证没有起到对微软的Exchange服务器的保护作用，进而导致Exchange服务器的Web接口暴露。Bullock 称主要的问题在于 OWA 服务与 Exchange WebServices（EWS）服务在同一个 Web 服务器上运行、共享同一端口并且都默认启用。虽然 OWA 上启用了 2FA ，但是 EWS 认使用单因素身份验证，攻击者可通过攻击 EWS 实现入侵 OWA 服务器。

Bullock使用了一个叫做MailSniper的工具，来爬取微软的Exchange服务器上有关邮箱的敏感信息。MailSniper的工作原理是当连接到Exchange Web serveices(EWS)服务器上的时候，会尝试获取用户的收件箱。EWS是一个Web接口，当用户在部署客户端的时候，微软建议使用EWS来和Exchange服务器交互。当使用EWS之后，应用就可以从用户的收件箱获取的邮箱信息，联系人，日历等。

Bullock表示：

某些公司在OWA上关闭了双因子验证，所以在OWA上面登录的时候，你必须提供一个验证，但是这样就有被攻击的危险，因为双因子验证实际并没有起到应有的作用。所以我猜想如果EWS没有使用双因子验证，那么使用MailSniper就有可能读取到用户的邮件，完全绕过双因子安全验证。

验证问题确实存在

为了验证这个想法，Bullock设置了OWA，并且安装了DUO security公司的双因子验证软件--Duo for Outlook。在手机上设置了DUO的移动应用，并且登录OWA使用测试用户账户"vladi@eldershogun.com"。在使用手机同步了DUO之后，如果登录账户认证，手机就可以收到的确认通知。这一步完成之后，如果是黑客，同时没有手机同步DUO软件的双因子验证，在登录OWA之后黑客就不可能有其他进展了。

MailSniper只有在设置了主机域名之后才可以工作。但如果修改了部分代码，添加了"-Remote"选项，这样Invoke-Selfsearch函数就可以远程工作。另外还需要修改才可以获取收件箱。首先，需要确定公司使用的外部邮箱服务器。一般情况来说，可以使用Autodiscover搜索，邮箱服务器需要使用'-ExechHostname'参数来指定。如果这个参数没有指定，Invoke-selfSearch就会自动尝试获取邮箱服务器。其次，用户的密码凭证需要先收集起来。一旦Exchange服务器和用户的密码凭证收集之后，下面的命令可以用来在网络上搜索邮箱。

Invoke-SelfSearch-Mailboxemail@domain.com-ExchHostnamemail.domain.com-Remote

上面的命令运行之后，授权凭证窗口就会出现，要求输入目标用户的登陆凭证。这里是输入内部邮箱地址还是输入域帐号取决于该组织的设定。在用户凭证输入之后，MailSniper会尝试连接EWS的这个URL：https://mail.domain.com/EWS/Exchange.asmx。并且在用户的收件箱搜索相关关键词内容。

在使用这种方法设置了DUO双因子验证的账户上尝试攻击。MailSniper可以成功绕过双因子验证并且搜索到相关邮件。

为了更深入证明这个不是DUO双因子验证的问题，BHIS公司设置了Office365并且利用微软自己的工具Azure Multi-Factor Autoentication(MFA)来保护用户从Office365登录到Outlook邮箱，结果证明攻击者仍然可以绕过双因子验证来读取用户的收件箱。.

Bullock推测目前使用Exchange Server的其他产品很可能也面临着这样类似的问题，比如MAPI over HTTP和Autodiscover。