黑客可绕过 Outlook Web Access 双因素身份验证，获取邮箱敏感数据

据外媒报道，企业运行的 Exchange Server 服务器存在设计缺陷，攻击者可以绕过 Outlook Web Access（OWA）设置的双因素身份验证（2FA），访问目标企业的电子邮件收件箱，日历，联系人和其他敏感数据。该设计缺陷被黑山信息安全公司的研究员 Beau Bullock 发现，并于 9 月 28 日告知了 Microsoft 。Bullock 称主要的问题在于 OWA 服务与 Exchange Web Services（EWS）服务在同一个 Web 服务器上运行、共享同一端口并且都默认启用。虽然 OWA 上启用了 2FA ，但是 EWS 认使用单因素身份验证，攻击者可通过攻击 EWS 实现入侵 OWA 服务器。现实中，Bullock 使用了一个名为 MailSniper 的工具在 Microsoft Exchange 环境中搜索包含敏感数据的邮件。

稿源：本站翻译整理，封面来源：securityaffairs.co