前言
全面发布：BLACK HILLS信息安适非常赞成卖力任地发布缝隙。2016年9月28日我向微软呈报了这个缝隙，可一直到这篇文章颁布（2016.11.2）期间，微软对付此缝隙始终没有任何的反响，除了这句"目前还未有进展"。缝隙颁布整个过程的时间表，可以在文章末看到。
缝隙分析
美国时间下午3点更新：这篇文章讲述了如何绕过微软网页版Outlook的双因子认证（它由第三方DUO Security公司供给）。首先说明一点：此次的缝隙不是DUO Security公司的产品引起的。而是由于双因子认证没有起到对微软的Exchange处事器的掩护感化，进而导致Exchange处事器的Web接口袒露。
在第六届的DerbyCon会议上，我果然了一个叫做MailSniper的工具，它可以用来爬取微软的Exchange处事器上有关邮箱的敏感信息。MailSniper的事情道理是当连接到Exchange Web serveices(EWS)处事器上的时候，会测验考试获取用户的收件箱。EWS是一个Web接口，当用户在部署客户真个时候，微软建议使用EWS来和Exchange处事器交互。当使用EWS之后，应用就可以从用户的收件箱获取的邮箱信息，联系人，日历等。
在DerbyCon的会议上，我听了Nick Landers的对付Hacker，Outlook和Exchange可以做什么的演讲。这是一个超级棒的演讲，并且我保举你去听一下。在他的演讲中，Nick收到一个不雅观众的提问：双因子验证（2FA）是否就可以防备黑客打击？Nick由此讲述了一个非常有趣的不雅概念，他说：“我曾经看到过某些公司在OWA（Outlook网页版）上封锁了双因子验证，所以在OWA上面登录的时候，你必需供给一个令牌。但是这样就有被打击的危险：因为双因子验证实际并没有起到应有的感化。
所以我料想如果EWS没有使用双因子验证，那么操作它，使用MailSniper就有可能读取到用户的邮件，完全绕过双因子安适验证。
我来验证这个想法，我设置了网页登录OWA，并且安置了DUO security公司的双因子验证软件--Duo for Outlook。我在手机上设置了DUO的移动应用，并且登录OWA使用测试用户账户"vladi@eldershogun.com"。

在使用我的手机同步了DUO之后，如果我登录账户认证，我的手机就可以收到简直认通知。这一步完成之后，如果我是黑客，同时没有手机同步DUO软件的双因子验证，在登录OWA之后我就不成能有其他进展了。

在此之前，MailSniper只有在设置了主机域名之后才可以事情。我改削了部分代码，添加了"-Remote"选项，这样Invoke-Selfsearch函数就可以长途事情。此外还需要改削才可以获取收件箱。首先，需要确定公司使用的外部邮箱处事器。一般情况来说，可以使用Autodiscover搜索，或者爆破子域名好比：mail.domain.com,owa.domain.com,webmail.domain.com等。邮箱处事器需要使用'-ExechHostname'参数来指定。如果这个参数没有指定，Invoke-selfSearch就会自动测验考试获取邮箱处事器。其次，用户的暗码凭证需要先收集起来。更多需要注意的处所可以看这篇博客。
一旦Exchange处事器和用户的暗码凭证收集之后，下面的命令可以用来在网络上寻找邮箱。
1
Invoke-SelfSearch -Mailbox email@domain.com -ExchHostname mail.domain.com -Remote
上面的命令运行之后，授权凭证窗口就会呈现，要求输入方针用户的登陆凭证。这里是输入内部邮箱地点还是输入域帐号取决于该组织的设定。
在用户凭证输入之后，MailSniper会测验考试连接EWS的这个URL：https://mail.domain.com/EWS/Exchange.asmx。并且在用户的收件箱搜索相关关键词内容（默认是暗码,凭证,证书）。
我使用这种要领在设置了DUO双因子验证的账户上测验考试打击。MailSniper可以告成绕过双因子验证并且搜索到相关邮件。

为了更深入证明这个不是DUO双因子验证的问题，BHIS公司设置了Office365并且操作微软本身的工具Azure Multi-Factor Autoentication(MFA)来掩护用户从Office365登录到Outlook邮箱。
演示如下：我首先在网页端登录到测试用户的Office 365账户。

在输入了正确的账户暗码之后，微软的MFA验证是必需的。在这种情况下，我让他给我的手机发送一条短信验证码。

在MFA确认了验证码之后，测试用户账户可以检察Outlook.Office.com上面的收件箱。

使用先前描述的要领使用EWS绕过双因子验证仍然有效。在MailSniper验证了outlook.office365.com暗码之后，打击者仍然可以绕过双因子验证来读取用户的收件箱。

演示视频
建议
我想最简单的解决要领就是废失Exchange Web Services, 但这也会毁失很多对象。好比，Mac上的Outlook只能通过Exchange Web Service连接到Exchange，这种情况废失EWS可能不是一个好步伐。任何客户端APP操作EWS也是这样的情况。所以，短期来讲，限定OWA只能从内网访谒，同时允许用户VPN访谒。对付某个用户帐户或整个团体手动限定EWS是可能的。但是，要记得任何使用app的用户，通过EWS连接到Exchange的可能会连接掉败。