Comments 5
centos 6 и 7 больше обновлять openssl не будут? backports хотя бы?
Суть в том, что двухфакторную авторизацию в веб-интерфейсе для корпоративной почты Outlook Web Access можно достаточно легко обойти, если у компании-жертвы используется стандартная конфигурация этой службы. Стандартная конфигурация предполагает доступность извне не только OWA, но и компонента Exchange Web Services, на котором 2FA в принципе не реализована.
Можно ссылку на эту «стандартную конфигурацию»?
После этого Microsoft предложила решение проблемы, заключающееся в отключении доступа к EWS извне.
Можно ссылку, где Microsoft признаёт неправильную конфигурацию у горе-специалиста «проблемой» и предлагает решение?
Microsoft говорит, что это не стандартная, а неправильная конфигурация.
In Exchange Server, authentication configuration settings for client endpoints are not shared across protocols. Supported authentication mechanisms are configured independently on a per protocol endpoint basis. Multi-Factor Authentication in Exchange Server can be enabled in multiple ways, including OAuth. Before implementing MFA with Exchange Server it is important that all client protocol touchpoints are identified and configured correctly.
Вендор решения 2-факторной аутентификации в документации открыто говорит, что для EWS они 2-факторную аутентификацию не реализовали:
Does Duo Security's OWA application affect ActiveSync?
ActiveSync continues to work as it did prior to installing Duo. Duo's OWA application does not add two-factor authentication to the EWS and ActiveSync endpoints. We recommend against exposing the ActiveSync endpoint to external access.
В конце концов даже сами горе-тестеры поняли, что с O365 2-факторная аутентификация на EWS работает, а они просто не дождались пока в облаке настройки применятся:
UPDATE as of 11:15am EST on 11/4/16 BHIS has retested the portion of this article detailing a bypass against Office365 Multi-Factor Authentication and it does indeed appear to not work.
Итого: горе-тестеры взяли внутренний сервис и выставили его
Офигеть! Спасибо за уточнения, обновил текст новости. Если речь идет о каком-то редком сочетании разных решений, еще и от разных вендоров, то определенно получается совсем другая история. Все-таки один момент, мне кажется, можно уточнить: каковы шансы, что в какой-то компании настроят EWS так же, как горе-тестеры?
Тут не EWS настраивали (его, как раз, не трогали), тут сумма вероятностей следующих действий, при том, что конфигурация не «коробочная», требуется принятие осознанных решений сисадмином:
1. Вероятность того, что кто-то выставит внутренний ресурс в интернет без дополнительного контроля, просто отфорвардив весь порт 443 с периметра и ничего не настраивая на сервере Exchange — ну бывает, одно время, когда TMG уже был объявлен EOL, а WAP ещё не доделали, некоторые сотрудники Microsoft от безысходности рекомендовали так пробрасывать. Сама по себе такая конфигурация одинаково (не)безопасна и для OWA и для EWS. И, конечно же, в тех рекомендациях речь не шла о 2FA, а, тем более, о стороннем продукте, который, упрощённо, этот URL на 443 порту защищает (/OWA), а вот этот (/EWS) — нет. Таким образом, дополнительные настройки при интеграции двух продуктов — ответственность сисадмина.
2. Вероятность того, что кто-то поставит Duo Security OWA и не прочитает к нему инструкцию. Тут уж совсем, что называется, «как потопаешь, так и полопаешь» — если лень читать инструкцию, а задача, лишь бы как-то заработало, то оно и будет «как-то» работать. Вендор рекомендует EWS/ActiveSync наружу не выставлять ("recommend against"). Как происходит инсталляция Duo Security OWA и предлагают ли они сами меры по закрытию лишних сервисов на порту, или полагаются, что этим озаботится сам сисадмин, прочитав их рекомендацию — тут вопрос к Duo Security, я не пользовался их продуктом. Но даже если их конфигуратор по умолчанию никуда больше не лезет, кроме того места, куда просят — это нормально, они в документации указали, что остальные сервисы они не защищают и их наружу попросили не выставлять. То есть, опять же, интеграция — ответственность сисадмина.
Таким образом, тут нельзя говорить о «конфигурации по умолчанию» — это не коробочное решение, а интеграция двух продуктов. В документации указано, как их рекомендуется интегрировать. Если документацию проигнорировали — это самодеятельность, всю ответственность за которую несёт сисадмин. «Коробочное» решение от Microsoft (O365) защищает и EWS тоже.
1. Вероятность того, что кто-то выставит внутренний ресурс в интернет без дополнительного контроля, просто отфорвардив весь порт 443 с периметра и ничего не настраивая на сервере Exchange — ну бывает, одно время, когда TMG уже был объявлен EOL, а WAP ещё не доделали, некоторые сотрудники Microsoft от безысходности рекомендовали так пробрасывать. Сама по себе такая конфигурация одинаково (не)безопасна и для OWA и для EWS. И, конечно же, в тех рекомендациях речь не шла о 2FA, а, тем более, о стороннем продукте, который, упрощённо, этот URL на 443 порту защищает (/OWA), а вот этот (/EWS) — нет. Таким образом, дополнительные настройки при интеграции двух продуктов — ответственность сисадмина.
2. Вероятность того, что кто-то поставит Duo Security OWA и не прочитает к нему инструкцию. Тут уж совсем, что называется, «как потопаешь, так и полопаешь» — если лень читать инструкцию, а задача, лишь бы как-то заработало, то оно и будет «как-то» работать. Вендор рекомендует EWS/ActiveSync наружу не выставлять ("recommend against"). Как происходит инсталляция Duo Security OWA и предлагают ли они сами меры по закрытию лишних сервисов на порту, или полагаются, что этим озаботится сам сисадмин, прочитав их рекомендацию — тут вопрос к Duo Security, я не пользовался их продуктом. Но даже если их конфигуратор по умолчанию никуда больше не лезет, кроме того места, куда просят — это нормально, они в документации указали, что остальные сервисы они не защищают и их наружу попросили не выставлять. То есть, опять же, интеграция — ответственность сисадмина.
Таким образом, тут нельзя говорить о «конфигурации по умолчанию» — это не коробочное решение, а интеграция двух продуктов. В документации указано, как их рекомендуется интегрировать. Если документацию проигнорировали — это самодеятельность, всю ответственность за которую несёт сисадмин. «Коробочное» решение от Microsoft (O365) защищает и EWS тоже.
Отдельный флажок для сайтов от гугла это да — долой рецидивистов!; о) Взломанные сайты под эту категорию не подпадают — интересно, как они будут отделять зёрна от плевел?
Sign up to leave a comment.
Security Week 45: обход двухфакторной авторизации в OWA, перехват аккаунтов GMail, уязвимость в OpenSSL