黑客可绕过 Outlook Web Access 双因素身份验证，获取邮箱敏感数据

据外媒报道，企业运行的 Exchange Server 服务器存在设计缺陷，攻击者可以绕过 Outlook Web Access（OWA）设置的双因素身份验证（2FA），访问目标企业的电子邮件收件箱，日历，联系人和其他敏感数据。该设计缺陷被黑山信息安全公司的研究员 Beau Bullock 发现，并于 9 月 28 日告知了 Microsoft 。Bullock 称主要的问题在于 OWA 服务与 Exchange Web Services（EWS）服务在同一个 Web 服务器上运行、共享同一端口并且都默认启用。虽然 OWA 上启用了 2FA ，但是 EWS 认使用单因素身份验证，攻击者可通过攻击 EWS 实现入侵 OWA 服务器。现实中，Bullock 使用了一个名为 MailSniper 的工具在 Microsoft Exchange 环境中搜索包含敏感数据的邮件。

稿源：本站翻译整理，封面来源：securityaffairs.co

from hackernews.cc.thanks for it.