前沿拓展：

outlook網(wǎng)頁版登錄入口

不是所有outlook郵箱都可以登錄網(wǎng)頁版的，一般可以通過點擊文件–右側(cè)會顯示網(wǎng)頁版的鏈接地址，**粘貼到瀏覽器里就行了。
有些是需要申請網(wǎng)頁版的權(quán)限的，一般為公司郵箱。
目前outlook推出了office 365的網(wǎng)頁版郵箱，建議到微軟官方進(jìn)行查看，好點的公司都會用這個。

翻譯：sinensis

預(yù)估稿費：200RMB（不服你也來投稿啊！）

投稿方式：發(fā)送郵件至linwei#360.cn，或登陸網(wǎng)頁版在線投稿

前言

全面公布：BLACK HILLS信息安全非常**負(fù)責(zé)任地公布漏洞。2016年9月28日我向微軟報告了這個漏洞，可一直到這篇文章發(fā)布（2016.11.2）期間，微軟對于此漏洞始終沒有任何的反應(yīng)，除了這句”目前還未有進(jìn)展”。漏洞發(fā)布整個過程的時間表，可以在文章末看到。

漏洞分析

美國時間下午3點更新：這篇文章講述了如何繞過微軟網(wǎng)頁版Outlook的雙因子認(rèn)證（它由第三方DUO Security公司提供）。首先說明一點：這次的漏洞不是DUO Security公司的產(chǎn)品引起的。而是由于雙因子認(rèn)證沒有起到對微軟的Exchange服務(wù)器的保護(hù)作用，進(jìn)而導(dǎo)致Exchange服務(wù)器的Web接**露。

在第六屆的DerbyCon會議上，我公開了一個叫做MailSniper的工具，它可以用來爬取微軟的Exchange服務(wù)器上有關(guān)郵箱的敏感信息。MailSniper的工作原理是當(dāng)連接到Exchange Web serveices(EWS)服務(wù)器上的時候，會嘗試獲取用戶的收件箱。EWS是一個Web接口，當(dāng)用戶在部署客戶端的時候，微軟建議使用EWS來和Exchange服務(wù)器交互。當(dāng)使用EWS之后，應(yīng)用就可以從用戶的收件箱獲取的郵箱信息，聯(lián)系人，日歷等。

在DerbyCon的會議上，我聽了Nick Landers的對于Hacker，Outlook和Exchange可以做什么的演講。這是一個超級棒的演講，并且我推薦你去聽一下。在他的演講中，Nick收到一個觀眾的提問：雙因子驗證（2FA）是否就可以防止黑客攻擊？Nick由此講述了一個非常有趣的觀點，他說：“我曾經(jīng)看到過某些公司在OWA（Outlook網(wǎng)頁版）上關(guān)閉了雙因子驗證，所以在OWA上面登錄的時候，你必須提供一個令牌。但是這樣就有被攻擊的危險：因為雙因子驗證實際并沒有起到應(yīng)有的作用。

所以我猜想如果EWS沒有使用雙因子驗證，那么利用它，使用MailSniper就有可能讀取到用戶的郵件，完全繞過雙因子安全驗證。

我來驗證這個想法，我設(shè)置了網(wǎng)頁登錄OWA，并且安裝了DUO security公司的雙因子驗證軟件–Duo for Outlook。我在手機上設(shè)置了DUO的移動應(yīng)用，并且登錄OWA使用測試用戶賬戶”vladi@eldershogun.com”。

在使用我的手機同步了DUO之后，如果我登錄賬戶認(rèn)證，我的手機就可以收到的確認(rèn)通知。這一步完成之后，如果我是黑客，同時沒有手機同步DUO軟件的雙因子驗證，在登錄OWA之后我就不可能有其他進(jìn)展了。

在此之前，MailSniper只有在設(shè)置了主機域名之后才可以工作。我修改了部分代碼，添加了”-Remote”選項，這樣Invoke-Selfsearch函數(shù)就可以遠(yuǎn)程工作。另外還需要修改才可以獲取收件箱。首先，需要確定公司使用的外部郵箱服務(wù)器。一般情況來說，可以使用Autodiscover搜索，或者爆破子域名比如：mail.domain.com,owa.domain.com,webmail.domain.com等。郵箱服務(wù)器需要使用’-ExechHostname’參數(shù)來指定。如果這個參數(shù)沒有指定，Invoke-selfSearch就會自動嘗試獲取郵箱服務(wù)器。其次，用戶的密碼憑證需要先收集起來。更多需要注意的地方可以看這篇博客。

一旦Exchange服務(wù)器和用戶的密碼憑證收集之后，下面的命令可以用來在網(wǎng)絡(luò)上尋找郵箱。

1Invoke-SelfSearch -Mailbox email@domain.com -ExchHostname mail.domain.com -Remote

上面的命令運行之后，授權(quán)憑證窗口就會出現(xiàn)，要求輸入目標(biāo)用戶的登陸憑證。這里是輸入內(nèi)部郵箱地址還是輸入域帳號取決于該組織的設(shè)定。

在用戶憑證輸入之后，MailSniper會嘗試連接EWS的這個URL：https://mail.domain.com/EWS/Exchange.a**x。并且在用戶的收件箱搜索相關(guān)關(guān)鍵詞內(nèi)容（默認(rèn)是密碼,憑證,證書）。

我使用這種方法在設(shè)置了DUO雙因子驗證的賬戶上嘗試攻擊。MailSniper可以成功繞過雙因子驗證并且搜索到相關(guān)郵件。

為了更深入證明這個不是DUO雙因子驗證的問題，BHIS公司設(shè)置了Office365并且利用微軟自己的工具Azure Multi-Factor Autoentication(MFA)來保護(hù)用戶從Office365登錄到Outlook郵箱。

演示如下：我首先在網(wǎng)頁端登錄到測試用戶的Office 365賬戶。

在輸入了正確的賬戶密碼之后，微軟的MFA驗證是必須的。在這種情況下，我讓他給我的手機發(fā)送一條短信驗證碼。

在MFA確認(rèn)了驗證碼之后，測試用戶賬戶可以查看Outlook.Office.com上面的收件箱。

使用先前描述的方法使用EWS繞過雙因子驗證仍然有效。在MailSniper驗證了outlook.office365.com密碼之后，攻擊者仍然可以繞過雙因子驗證來讀取用戶的收件箱。

建議

我想最簡單的解決方法就是廢掉Exchange Web Services, 但這也會毀掉很多東西。比如，Mac上的Outlook只能通過Exchange Web Service連接到Exchange，這種情況廢掉EWS可能不是一個好辦法。任何客戶端APP利用EWS也是這樣的情況。所以，短期來講，限定OWA只能從內(nèi)網(wǎng)訪問，同時允許用戶**訪問。對于某個用戶帳戶或整個團(tuán)體手動限定EWS是可能的。但是，要記得任何使用app的用戶，通過EWS連接到Exchange的可能會連接失敗。

結(jié)論

總之，Outlook網(wǎng)頁登錄的雙因子認(rèn)證對于微軟的Exchange來說，完全覆蓋使用到其他認(rèn)證協(xié)議是有點困難。在這篇文章中，已經(jīng)證明了EWS服務(wù)并沒有被雙因子驗證所保護(hù)。并且只需要知道用戶的登錄憑證就可以讀取到用戶的收件箱。Exchange的其他服務(wù)，比如使用HTTP傳輸?shù)腗API，或者自動掃描發(fā)現(xiàn)。我再次測試了第三方的雙因子登錄驗證軟件和微軟的AWS，并且我猜想其他也會存在相同的問題。

漏洞發(fā)布時間表

2016.9.28 東部時間下午1:51 –通過secure@microsoft.com，向微軟報告了此漏洞。

2016.9.28 東部時間下午10:01 – 收到微軟回復(fù)，他們已將此問題反饋給相關(guān)人員分析。

“ 你好，

非常感謝您及時通知MSRC，我已將您的報告反饋給相關(guān)人員分析，會及時向您回復(fù)分析結(jié)果。

謝謝！

MSRC

2016.10.3 東部時間上午11:15 – 發(fā)郵件詢問進(jìn)展

2016.10.3 東部時間下午7:41 – 收到回復(fù)，他們已經(jīng)開始審理此問題。

“非常感謝您的報告。

我已建立了案例35494，REDACTED是負(fù)責(zé)人，如有問題，您可以聯(lián)系他。

同時，我們希望您能遵守我們的漏洞公布指引，不要將此漏洞向公眾公布，直到用戶可以保護(hù)他們的信息為止。

您可以在http://www.microsoft.com/technet/security/bulletin/policy.mspx瀏覽我們的公告確認(rèn)政策，在http://www.microsoft.com/security/msrc/default.mspx查看我們的一般法律法規(guī)。

如果您在任何時間有任何問題或進(jìn)一步的信息，請回復(fù)郵件。

謝謝

MSRC

2016.10.11 東部時間上午8:55 –發(fā)郵件詢問進(jìn)展

2016.10.11 東部時間下午 4:07 – 收到回復(fù)，正在等待產(chǎn)品團(tuán)隊審核。

“您好：

我們還在等待產(chǎn)品團(tuán)隊審核，如果有進(jìn)一步的信息，我會及時通知您。

謝謝

MSRC

2016.10.21 東部時間下午3:37 –發(fā)郵件詢問進(jìn)展

2016.10.24 東部時間下午4:46 – 收到回復(fù)無進(jìn)展

“您好：

現(xiàn)在還沒有任何進(jìn)展，如果有進(jìn)一步的信息，我會及時通知您。

謝謝

MSRC

2016.11.2 – 在Black Hills 信息安全處，公開此漏洞。

拓展知識：

outlook網(wǎng)頁版登錄入口

不是所有outlook郵箱都可以登錄網(wǎng)頁版的，一般可以通過點擊文件–右側(cè)會顯示網(wǎng)頁版的鏈接地址，**粘貼到瀏覽器里就行了。
有些是需要申請網(wǎng)頁版的權(quán)限的，一般為公司郵箱。
目前outlook推出了office 365的網(wǎng)頁版郵箱，建議到微軟官方進(jìn)行查看，好點的公司都會用這個。

本回答被提問者采納