L’autenticazione a due fattori, molto spesso e a ragione, è sinonimo di sicurezza: infatti questa autenticazione richiede, oltre all’inserimento della password, di inserire un codice univoco creato appositamente per la sessione in essere, certo potrà trattarsi di una password, un PIN, un impronta digitale e molti altri di metodi.
Questo metodo di autenticazione è usato da molte grosse aziende tra cui Microsoft con la sua piattaforma online Outlook: proprio in questa piattaforma un ricercatore ha trovato il modo di bypassare l’autenticazione a due fattori permettendo di accedere quindi al calendario, mail, contatti ecc. Come ha fatto?
Il problema di fondo, come spiega a Threatpost.com, è che Outlook Web Access (chiamato OWA) utilizza la stessa porta di autenticazione condivisa con Exchange Web Services (chiamato EWS) questo perchè condividono, tra l’altro, la medesima infrastruttura back-end. Il ricercatore in questione, che è un penetration tester, ha reso noto questo problema a Microsoft, la quale ha risposto proponendo come mitigare il problema, ma per la sua risoluzione si dovrà rivedere l’architettura di alcune parti dell’infrastruttura.
Bullock, il nome del ricercatore, ammette che in molte situazioni la condivisione del server (o spazio operativo) è normale, quello che non è normale è la condivisione della stessa porta per eseguire operazioni, a maggior ragione se questa porta è pubblica ed esterna. Questo problema, comunque, non influisce sul client di Outlook o simili: in questo caso si sta parlando esclusivamente dell’autenticazione in due fattori della piattaforma web di Outlook, operazione che comunque richiede il furto di username e password per l’accesso, cosa comunque complessa e molto difficile.
Sembra, inoltre, che componenti aggiuntivi come DUO (Two-Factor Authentication Methods: Duo Security) non sia affetti da questo problema (se ne parla qui: On Vulnerabilities Disclosed in Microsoft Exchange Web Services: Blog: Duo Security)
In aggiunta Microsoft nel nuovo Office 365 ha introdotto un metodo di autenticazione differente, chiamato “Modern Authentication” utilizzando il servizio Azure ADAL, non affetto da questo problema.
Di seguito un video inerente l’argomento:
Sicuramente ci saranno altre novità in merito, Microsoft correrà ai ripari: gli utenti non rischiano, l’importante è sempre utilizzare password complesse; può esser utile, ad esempio, affidarsi a servizi come LastPass, reso da poco gratuito per diversi dispositivi.