Предприятия, использующие сервис совместной работы Microsoft Exchange, напрасно доверяются двухфакторной аутентификации, реализованной в веб-клиенте Outlook Web Access (OWA). Этот проект имеет изъян, позволяющий с легкостью обойти дополнительный уровень защиты и добраться до корпоративных почтовых ящиков, календарей, контактов и других конфиденциальных данных.

Дело в том, что доступ к серверам Exchange осуществляется через API-интерфейс Exchange Web Services (EWS), на который не распространяется двухфакторная защита OWA. EWS по умолчанию включен и использует тот же порт и сервер, что и OWA. Это значит, что, вооружившись (крадеными) идентификаторами, злоумышленник сможет получить удаленный доступ к EWS, связанному с внутренней инфраструктурой OWA, а затем и к почтовым ящикам пользователей.

Обнаруженная проблема была оглашена в прошлую среду исследователем Бо Буллоком (Beau Bullock) из консультативной компании Black Hills Information Security, базирующейся в Южной Дакоте. Microsoft получила соответствующее уведомление 28 сентября и выслала Black Hills подтверждение, однако ни патча, ни альтернативной защиты за этим не последовало. В итоге исследователь решился на публикацию, на которую Microsoft ответила письмом, предложив временную меру; она, впрочем, способна нарушить работу некоторых сервисов, полагающихся на EWS, — к примеру, толстых клиентов вроде Outlook для Mac.

В своем комментарии Threatpost специалист по пентестингу Буллок отметил, что Microsoft, скорее всего, не удастся исправить ситуацию без изменения архитектуры некоторых частей инфраструктуры. «Самая большая проблема в том, что Outlook Web Access размещен на том же веб-сервере, что и Exchange Web Services, притом оба дефолтно включены, — пояснил исследователь. — И большинство, похоже, не понимает, к чему это может привести. Многие думают, что их сервер Exchange, открытый из Интернета, используется только для OWA, и не осознают, что EWS тоже включен по умолчанию. Исправить ситуацию можно, лишь шире распространив эту информацию».

Буллок уверен, что мало кто потрудился разобраться в конфигурации настолько, чтобы понять опасность параллельной работы другого протокола, не защищенного 2FA. «В документации нигде явно не сказано, что при включении двухфакторной аутентификации на OWA нужно учитывать активность другого протокола, который имеет лишь один уровень защиты, — говорит собеседник Threatpost. — Он разговаривает с той же внутренней инфраструктурой».

При этом Буллок отметил, что в работе разных протоколов на одном сервере ничего экстраординарного нет, взять хотя бы RDP и SMB — 2FA предусмотрена лишь для первого. Тем не менее порты у этих сервисов различны, и доступ к ним можно ограничить с помощью правил на межсетевом экране. «Получается, что данный случай более серьезен, — подытоживает эксперт. — Когда сервер доступен извне, доступ можно разрешить лишь на определенном порту. Если не знать, что на том же порту работает совсем иной протокол, он потенциально может предоставить еще один способ коммуникации с той же инфраструктурой».

В опубликованном отчете Буллок рассмотрел PoC-атаку, проведенную им против EWS через портал OWA, защищенный 2FA-софтом Duo for Outlook. Создав тестовый аккаунт и установив на смартфон приложение Duo, он вошел на OWA и с помощью слегка измененного инструмента для пентестинга MailSniper запросил домен EWS для просмотра входящих сообщений в почтовом ящике и поиска паролей и других идентификаторов.

Чтобы удостовериться, что это не проблема Duo for Outlook, Буллок аналогичным образом протестировал Office 365 с включенной функцией Microsoft Azure Multifactor Authentication. Как оказалось, доступ к защищенным 2FA ящикам через EWS возможен и в этом случае.

«Данная проблема не затрагивает Office 365 при полностью включенной мультифакторной аутентификации (MFA), — заявил журналистам Threatpost представитель Microsoft. — То, что рассматривается в этой записи, не является уязвимостью в ПО и не работает без учетных данных/краденого пароля пользователя».

«По моему мнению, лучшим решением все-таки будет переработка архитектуры, — сказал в заключение Буллок. — Не знаю, насколько это трудоемко, но в ближайшей перспективе Microsoft придется деактивировать EWS по умолчанию, а если организации он нужен для толстых клиентов, его можно будет включить. Они стараются сделать все протоколы открытыми и облегчить их развертывание».

Категории: Главное, Уязвимости