image

Tweefactorauthenticatie Outlook Web Access te omzeilen

donderdag 3 november 2016, 10:43 door Redactie, 5 reacties

Tweefactorauthenticatie moet het lastiger maken voor een aanvaller maken om toegang tot een account te krijgen, aangezien er voor het inloggen een extra code is vereist, maar onderzoekers hebben ontdekt dat deze beveiligingsmaatregel bij Microsoft Outlook Web Access en Office 365 is te omzeilen.

Dat laten onderzoekers van Black Hills Information Security weten. De onderzoekers ontwikkelden eerder al een tool genaamd MailSniper voor het zoeken naar gevoelige gegevens in een Microsoft Exchange-omgeving. De tool maakt gebruik van Exchange Web Services (EWS) als er met een Exchange-server verbinding wordt gemaakt. EWS is een programmeerinterface (api) voor Exchange-servers die Microsoft aanraadt voor het ontwikkelen van applicaties die met Exchange moeten communiceren.

Via de api is het mogelijk om toegang tot e-mailberichten, adresboeken, kalender en andere zaken in de mailbox te krijgen. Om gebruikers toegang tot hun e-mail op de Exchange-server te geven maken sommige organisaties gebruik van Outlook Web Access. Dit kan via tweefactorauthenticatie extra worden beveiligd. De beveiligingsmaatregel geldt echter niet voor EWS. Via de Mailsniper-tool is het daardoor nog steeds mogelijk, als een aanvaller over de inloggegevens van de gebruiker beschikt, om toegang tot het e-mailaccount te krijgen, ook al heeft de organisatie tweefactorauthenticatie voor Outlook Web Access ingeschakeld. De aanval blijkt ook tegen het Office 365-portaal te werken.

Microsoft werd eind september over het probleem ingelicht, maar heeft nog altijd geen update voorhanden. De onderzoekers stellen dat het uitschakelen van EWS de eenvoudigste oplossing is, maar dit voor veel problemen kan zorgen. Zo maakt Outlook voor Mac alleen gebruik van EWS om met Exchange verbinding te maken. In bedrijfsomgevingen met een Mac is het uitschakelen van EWS dan ook geen oplossing. Dat geldt ook voor zelfontwikkelde apps die van de programmeerinterface gebruikmaken. Een meer praktische oplossing is dan ook de Outlook Web Access alleen vanaf het interne netwerk toegankelijk te maken, waarbij gebruikers verplicht met een vpn werken, aldus de onderzoekers.

Reacties (5)
03-11-2016, 12:32 door Anoniem
wat een gebrek aan kennis over Exchange: EWS zet je normaal gesproken nooit open richting internet, maar alleen in je interne netwerk.
als je intern 2-factor gebruikt, neem ik aan dat je werkplek met 2 factor is beveiligd, en dat je daarna met normale authenticatie richting Exchange verbindt.
03-11-2016, 15:15 door Anoniem
Door Anoniem: wat een gebrek aan kennis over Exchange: EWS zet je normaal gesproken nooit open richting internet
En wat nou als je mail wilt syncen naar mobiele telefoons?
03-11-2016, 15:18 door Anoniem
bij Office365 kun je EWS niet dichtzetten dmv firewalls.
Dus je interne netwerk is niet voldoende.

EWS kent twee manieren van authenticatie:
- basic authentication, proxied via Exchange Online naar je eigen ADFS proxy infra.
- modern authentication. direct naar adfs via ws-federation.

Er is nogal wat uitdagingen om dit op een veilige manier te publiceren.
bijvoorbeeld;
- OWA mag wel publiek, maar Outlook niet etc. Dat gaat niet met modern authentication, omdat het allemaal ws-federation is.
03-11-2016, 17:20 door Anoniem
Door Anoniem:
Door Anoniem: wat een gebrek aan kennis over Exchange: EWS zet je normaal gesproken nooit open richting internet
En wat nou als je mail wilt syncen naar mobiele telefoons?

Dan gebruik je active sync? Gewoon goed in te regelen indien je het zelf host via een reverse proxy.
03-11-2016, 17:44 door karma4 - Bijgewerkt: 03-11-2016, 17:45
Door Anoniem ......., omdat het allemaal ws-federation is.
Die moet je me even goed uitleggen. Sso met ws federatie voor de interne infra wordt als het walhalla gezien, dat weet ik.
Een owa loopt via een externe verbinding web en kent in de basis geen signon dan wel federatie. Als je dat in je interne netwerk toch wil moet daar het een en ander voor gedaan worden. Zoiets gaat niet vanzelf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.