Tweefactorauthenticatie moet het lastiger maken voor een aanvaller maken om toegang tot een account te krijgen, aangezien er voor het inloggen een extra code is vereist, maar onderzoekers hebben ontdekt dat deze beveiligingsmaatregel bij Microsoft Outlook Web Access en Office 365 is te omzeilen.
Dat laten onderzoekers van Black Hills Information Security weten. De onderzoekers ontwikkelden eerder al een tool genaamd MailSniper voor het zoeken naar gevoelige gegevens in een Microsoft Exchange-omgeving. De tool maakt gebruik van Exchange Web Services (EWS) als er met een Exchange-server verbinding wordt gemaakt. EWS is een programmeerinterface (api) voor Exchange-servers die Microsoft aanraadt voor het ontwikkelen van applicaties die met Exchange moeten communiceren.
Via de api is het mogelijk om toegang tot e-mailberichten, adresboeken, kalender en andere zaken in de mailbox te krijgen. Om gebruikers toegang tot hun e-mail op de Exchange-server te geven maken sommige organisaties gebruik van Outlook Web Access. Dit kan via tweefactorauthenticatie extra worden beveiligd. De beveiligingsmaatregel geldt echter niet voor EWS. Via de Mailsniper-tool is het daardoor nog steeds mogelijk, als een aanvaller over de inloggegevens van de gebruiker beschikt, om toegang tot het e-mailaccount te krijgen, ook al heeft de organisatie tweefactorauthenticatie voor Outlook Web Access ingeschakeld. De aanval blijkt ook tegen het Office 365-portaal te werken.
Microsoft werd eind september over het probleem ingelicht, maar heeft nog altijd geen update voorhanden. De onderzoekers stellen dat het uitschakelen van EWS de eenvoudigste oplossing is, maar dit voor veel problemen kan zorgen. Zo maakt Outlook voor Mac alleen gebruik van EWS om met Exchange verbinding te maken. In bedrijfsomgevingen met een Mac is het uitschakelen van EWS dan ook geen oplossing. Dat geldt ook voor zelfontwikkelde apps die van de programmeerinterface gebruikmaken. Een meer praktische oplossing is dan ook de Outlook Web Access alleen vanaf het interne netwerk toegankelijk te maken, waarbij gebruikers verplicht met een vpn werken, aldus de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.