前沿拓展：

outlook網頁版登錄入口

不是所有outlook郵箱都可以登錄網頁版的，一般可以通過點擊文件–右側會顯示網頁版的鏈接地址，**粘貼到瀏覽器里就行了。
有些是需要申請網頁版的權限的，一般為公司郵箱。
目前outlook推出了office 365的網頁版郵箱，建議到微軟官方進行查看，好點的公司都會用這個。

翻譯：sinensis

預估稿費：200RMB（不服你也來投稿啊！）

投稿方式：發送郵件至linwei#360.cn，或登陸網頁版在線投稿

前言

全面公布：BLACK HILLS信息安全非常**負責任地公布漏洞。2016年9月28日我向微軟報告了這個漏洞，可一直到這篇文章發布（2016.11.2）期間，微軟對于此漏洞始終沒有任何的反應，除了這句”目前還未有進展”。漏洞發布整個過程的時間表，可以在文章末看到。

漏洞分析

美國時間下午3點更新：這篇文章講述了如何繞過微軟網頁版Outlook的雙因子認證（它由第三方DUO Security公司提供）。首先說明一點：這次的漏洞不是DUO Security公司的產品引起的。而是由于雙因子認證沒有起到對微軟的Exchange服務器的保護作用，進而導致Exchange服務器的Web接**露。

在第六屆的DerbyCon會議上，我公開了一個叫做MailSniper的工具，它可以用來爬取微軟的Exchange服務器上有關郵箱的敏感信息。MailSniper的工作原理是當連接到Exchange Web serveices(EWS)服務器上的時候，會嘗試獲取用戶的收件箱。EWS是一個Web接口，當用戶在部署客戶端的時候，微軟建議使用EWS來和Exchange服務器交互。當使用EWS之后，應用就可以從用戶的收件箱獲取的郵箱信息，聯系人，日歷等。

在DerbyCon的會議上，我聽了Nick Landers的對于Hacker，Outlook和Exchange可以做什么的演講。這是一個超級棒的演講，并且我推薦你去聽一下。在他的演講中，Nick收到一個觀眾的提問：雙因子驗證（2FA）是否就可以防止黑客攻擊？Nick由此講述了一個非常有趣的觀點，他說：“我曾經看到過某些公司在OWA（Outlook網頁版）上關閉了雙因子驗證，所以在OWA上面登錄的時候，你必須提供一個令牌。但是這樣就有被攻擊的危險：因為雙因子驗證實際并沒有起到應有的作用。

所以我猜想如果EWS沒有使用雙因子驗證，那么利用它，使用MailSniper就有可能讀取到用戶的郵件，完全繞過雙因子安全驗證。

我來驗證這個想法，我設置了網頁登錄OWA，并且安裝了DUO security公司的雙因子驗證軟件–Duo for Outlook。我在手機上設置了DUO的移動應用，并且登錄OWA使用測試用戶賬戶”vladi@eldershogun.com”。

在使用我的手機同步了DUO之后，如果我登錄賬戶認證，我的手機就可以收到的確認通知。這一步完成之后，如果我是黑客，同時沒有手機同步DUO軟件的雙因子驗證，在登錄OWA之后我就不可能有其他進展了。

在此之前，MailSniper只有在設置了主機域名之后才可以工作。我修改了部分代碼，添加了”-Remote”選項，這樣Invoke-Selfsearch函數就可以遠程工作。另外還需要修改才可以獲取收件箱。首先，需要確定公司使用的外部郵箱服務器。一般情況來說，可以使用Autodiscover搜索，或者爆破子域名比如：mail.domain.com,owa.domain.com,webmail.domain.com等。郵箱服務器需要使用’-ExechHostname’參數來指定。如果這個參數沒有指定，Invoke-selfSearch就會自動嘗試獲取郵箱服務器。其次，用戶的密碼憑證需要先收集起來。更多需要注意的地方可以看這篇博客。

一旦Exchange服務器和用戶的密碼憑證收集之后，下面的命令可以用來在網絡上尋找郵箱。

1Invoke-SelfSearch -Mailbox email@domain.com -ExchHostname mail.domain.com -Remote

上面的命令運行之后，授權憑證窗口就會出現，要求輸入目標用戶的登陸憑證。這里是輸入內部郵箱地址還是輸入域帳號取決于該組織的設定。

在用戶憑證輸入之后，MailSniper會嘗試連接EWS的這個URL：https://mail.domain.com/EWS/Exchange.a**x。并且在用戶的收件箱搜索相關關鍵詞內容（默認是密碼,憑證,證書）。

我使用這種方法在設置了DUO雙因子驗證的賬戶上嘗試攻擊。MailSniper可以成功繞過雙因子驗證并且搜索到相關郵件。

為了更深入證明這個不是DUO雙因子驗證的問題，BHIS公司設置了Office365并且利用微軟自己的工具Azure Multi-Factor Autoentication(MFA)來保護用戶從Office365登錄到Outlook郵箱。

演示如下：我首先在網頁端登錄到測試用戶的Office 365賬戶。

在輸入了正確的賬戶密碼之后，微軟的MFA驗證是必須的。在這種情況下，我讓他給我的手機發送一條短信驗證碼。

在MFA確認了驗證碼之后，測試用戶賬戶可以查看Outlook.Office.com上面的收件箱。

使用先前描述的方法使用EWS繞過雙因子驗證仍然有效。在MailSniper驗證了outlook.office365.com密碼之后，攻擊者仍然可以繞過雙因子驗證來讀取用戶的收件箱。

建議

我想最簡單的解決方法就是廢掉Exchange Web Services, 但這也會毀掉很多東西。比如，Mac上的Outlook只能通過Exchange Web Service連接到Exchange，這種情況廢掉EWS可能不是一個好辦法。任何客戶端APP利用EWS也是這樣的情況。所以，短期來講，限定OWA只能從內網訪問，同時允許用戶**訪問。對于某個用戶帳戶或整個團體手動限定EWS是可能的。但是，要記得任何使用app的用戶，通過EWS連接到Exchange的可能會連接失敗。

結論

總之，Outlook網頁登錄的雙因子認證對于微軟的Exchange來說，完全覆蓋使用到其他認證協議是有點困難。在這篇文章中，已經證明了EWS服務并沒有被雙因子驗證所保護。并且只需要知道用戶的登錄憑證就可以讀取到用戶的收件箱。Exchange的其他服務，比如使用HTTP傳輸的MAPI，或者自動掃描發現。我再次測試了第三方的雙因子登錄驗證軟件和微軟的AWS，并且我猜想其他也會存在相同的問題。

漏洞發布時間表

2016.9.28 東部時間下午1:51 –通過secure@microsoft.com，向微軟報告了此漏洞。

2016.9.28 東部時間下午10:01 – 收到微軟回復，他們已將此問題反饋給相關人員分析。

“ 你好，

非常感謝您及時通知MSRC，我已將您的報告反饋給相關人員分析，會及時向您回復分析結果。

謝謝！

MSRC

2016.10.3 東部時間上午11:15 – 發郵件詢問進展

2016.10.3 東部時間下午7:41 – 收到回復，他們已經開始審理此問題。

“非常感謝您的報告。

我已建立了案例35494，REDACTED是負責人，如有問題，您可以聯系他。

同時，我們希望您能遵守我們的漏洞公布指引，不要將此漏洞向公眾公布，直到用戶可以保護他們的信息為止。

您可以在http://www.microsoft.com/technet/security/bulletin/policy.mspx瀏覽我們的公告確認政策，在http://www.microsoft.com/security/msrc/default.mspx查看我們的一般法律法規。

如果您在任何時間有任何問題或進一步的信息，請回復郵件。

謝謝

MSRC

2016.10.11 東部時間上午8:55 –發郵件詢問進展

2016.10.11 東部時間下午 4:07 – 收到回復，正在等待產品團隊審核。

“您好：

我們還在等待產品團隊審核，如果有進一步的信息，我會及時通知您。

謝謝

MSRC

2016.10.21 東部時間下午3:37 –發郵件詢問進展

2016.10.24 東部時間下午4:46 – 收到回復無進展

“您好：

現在還沒有任何進展，如果有進一步的信息，我會及時通知您。

謝謝

MSRC

2016.11.2 – 在Black Hills 信息安全處，公開此漏洞。

拓展知識：

outlook網頁版登錄入口

不是所有outlook郵箱都可以登錄網頁版的，一般可以通過點擊文件–右側會顯示網頁版的鏈接地址，**粘貼到瀏覽器里就行了。
有些是需要申請網頁版的權限的，一般為公司郵箱。
目前outlook推出了office 365的網頁版郵箱，建議到微軟官方進行查看，好點的公司都會用這個。

本回答被提問者采納