Consiguen evadir la doble autenticación de Outlook Web App y Office 365

Share this…

Con la gran cantidad de ataques informáticos que se llevan a cabo a diario es necesario implementar medidas de seguridad adicionales a nuestros servicios de manera que los piratas no puedan apoderarse de nuestra información. En el caso de los servidores online, una de las medidas de seguridad que se deben implementar es la doble autenticación de manera que, si el código aleatorio que recibimos en nuestro dispositivo, no se puede iniciar sesión aunque nos roben la contraseña. Sin embargo, ninguna medida de seguridad es infalible.

Recientemente, la empresa de seguridad Black Hills ha encontrado una debilidad en la plataforma Outlook Web App y en Office 365 que puede permitir a un atacante acceder a los correos electrónicos de los usuarios evadiendo los sistemas de doble autenticación.

Para demostrar la debilidad, los expertos de seguridad montaron su propia plataforma Microsoft Outlook Web Access e implementaron en ella el proveedor de doble autenticación DUO Security vinculado a un smartphone. A la hora de intentar iniciar sesión a través del navegador, DUO enviaba el correspondiente código de acceso al dispositivo de manera que, sin el smartphone correspondiente, un atacante no podría lograr acceder a la cuenta aunque tuviera la contraseña.

Sin embargo, aunque el acceso web está protegido por DUO, si un atacante intenta hacer uso del servicio Exchange, podrá ver cómo dicho protocolo ignora por completo la doble autenticación y, si tiene la contraseña, se puede llegar a acceder libremente a toda la bandeja de entrada ya que dicho protocolo solo necesita un usuario y una contraseña para conectarse, nada más.

Bypass doble autenticacion Outlook

Tras encontrar este fallo de seguridad en Outlook Web App, los expertos de seguridad han intentado repetirlo, con éxito, en otras plataformas de Microsoft como Azure e incluso en las cuentas de correo de Office 365. En todos los casos, aunque se activara la doble autenticación, tanto con el servicio de Microsoft como con software de terceros como DUO, a través del protocolo Exchange es posible acceder libremente a toda la bandeja de entrada y buscar correos en ella simplemente habiendo conseguido la contraseña, por ejemplo, con ingeniería social.

Microsoft es consciente del fallo de seguridad en Outlook Web App y Office 365 pero no lo arregla

Mientras que la compañía se queja porque Google hace pública una vulnerabilidad reportada hacía una semana, Black Hills reportó la vulnerabilidad en privado a Microsoft el pasado 28 de septiembre y, hasta la fecha, la compañía ha pasado por completo del fallo de seguridad. Por ello, ayer 2 de noviembre, la compañía decidió poner contra las cuerdas a la compañía y hacer público el fallo de seguridad, demostrando además la existencia del mismo con las pruebas que se pueden ver en su página web principal.

Por el momento Microsoft sigue en silencio en cuanto a este fallo de seguridad. Debemos tener en cuenta que el servidor Exchange es utilizado especialmente por empresas, por lo que se trata de un fallo bastante grave.

Por desgracia, a día de hoy, la única forma de protegerse de este fallo es que todos aquellos usuarios que hagan uso de Outlook u Office 365 desactiven el servidor Exchange de manera que solo se pueda acceder a las bandejas de entrada a través de la web, pasando sí o sí por el sistema de doble autenticación.

Fuente: https://www.redeszone.net