Home News Esiste un Bypass per l’autenticazione a due fattori nella piattaforma di Outlook

Esiste un Bypass per l’autenticazione a due fattori nella piattaforma di Outlook

da Alvise C.
0 commenti 4 minutes Leggi
L’autenticazione a due fattori, molto spesso e a ragione, è sinonimo di sicurezza: infatti questa autenticazione richiede, oltre all’inserimento della password, di inserire un codice univoco creato appositamente per la sessione in essere, certo potrà trattarsi di una password, un PIN, un impronta digitale e molti altri di metodi.

access data 436712 1280

Questo metodo di autenticazione è usato da molte grosse aziende tra cui Microsoft con la sua piattaforma online Outlook: proprio in questa piattaforma un ricercatore ha trovato il modo di bypassare l’autenticazione a due fattori permettendo di accedere quindi al calendario, mail, contatti ecc. Come ha fatto? 
Il problema di fondo, come spiega a Threatpost.com, è che Outlook Web Access (chiamato OWA) utilizza la stessa porta di autenticazione condivisa con Exchange Web Services (chiamato EWS) questo perchè condividono, tra l’altro, la medesima infrastruttura back-end.  Il ricercatore in questione, che è un penetration tester, ha reso noto questo problema a Microsoft, la quale ha risposto proponendo come mitigare il problema, ma per la sua risoluzione si dovrà rivedere l’architettura di alcune parti dell’infrastruttura. 
Bullock, il nome del ricercatore, ammette che in molte situazioni la condivisione del server (o spazio operativo) è normale, quello che non è normale è la condivisione della stessa porta per eseguire operazioni, a maggior ragione se questa porta è pubblica ed esterna. Questo problema, comunque, non influisce sul client di Outlook o simili: in questo caso si sta parlando esclusivamente dell’autenticazione in due fattori della piattaforma web di Outlook, operazione che comunque richiede il furto di username e password per l’accesso, cosa comunque complessa e molto difficile.

Sembra, inoltre, che componenti aggiuntivi come DUO (Two-Factor Authentication Methods: Duo Security) non sia affetti da questo problema (se ne parla qui: On Vulnerabilities Disclosed in Microsoft Exchange Web Services: Blog: Duo Security)

In aggiunta Microsoft nel nuovo Office 365 ha introdotto un metodo di autenticazione differente, chiamato “Modern Authentication” utilizzando il servizio Azure ADAL, non affetto da questo problema.

Di seguito un video inerente l’argomento:

Sicuramente ci saranno altre novità in merito, Microsoft correrà ai ripari: gli utenti non rischiano, l’importante è sempre utilizzare password complesse; può esser utile, ad esempio, affidarsi a servizi come LastPass, reso da poco gratuito per diversi dispositivi. 

Fonte:  Threatpost | The first stop for security news

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.