Loading
0

OWA和Offic365双因子认证绕过

结论
总之,Outlook网页登录的双因子认证对于微软的Exchange来说,完全覆盖使用到其他认证协议是有点困难。在这篇文章中,已经证明了EWS服务并没有被双因子验证所保护。并且只需要知道用户的登录凭证就可以读取到用户的收件箱。Exchange的其他服务,比如使用HTTP传输的MAPI,或者自动扫描发现。我再次测试了第三方的双因子登录验证软件和微软的AWS,并且我猜想其他也会存在相同的问题。
漏洞发布时间表
2016.9.28 东部时间下午1:51 –通过secure@microsoft.com,向微软报告了此漏洞。
2016.9.28 东部时间下午10:01 – 收到微软回复,他们已将此问题反馈给相关人员分析。
“ 你好,
非常感谢您及时通知MSRC,我已将您的报告反馈给相关人员分析,会及时向您回复分析结果。
谢谢!
MSRC
2016.10.3 东部时间上午11:15 – 发邮件询问进展
2016.10.3 东部时间下午7:41 – 收到回复,他们已经开始审理此问题。
“非常感谢您的报告。
我已建立了案例35494,REDACTED是负责人,如有问题,您可以联系他。
同时,我们希望您能遵守我们的漏洞公布指引,不要将此漏洞向公众公布,直到用户可以保护他们的信息为止。
您可以在http://www.microsoft.com/technet/security/bulletin/policy.mspx浏览我们的公告确认政策,在http://www.microsoft.com/security/msrc/default.mspx查看我们的一般法律法规。
如果您在任何时间有任何问题或进一步的信息,请回复邮件。
谢谢
MSRC
2016.10.11 东部时间上午8:55 --发邮件询问进展
2016.10.11 东部时间下午 4:07 – 收到回复,正在等待产品团队审核。
“您好:
我们还在等待产品团队审核,如果有进一步的信息,我会及时通知您。
谢谢
MSRC
2016.10.21 东部时间下午3:37 --发邮件询问进展
2016.10.24 东部时间下午4:46 – 收到回复无进展
“您好:
现在还没有任何进展,如果有进一步的信息,我会及时通知您。
谢谢
MSRC
2016.11.2 – 在Black Hills 信息安全处,公开此漏洞。

分页阅读: 1 2
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。