EWS означает Exchange Web Services.
Это протокол, основанный на SOAP, используемый для планирования свободной / занятой работы, и за счет сторонних клиентов.
Он позволяет пользователю читать электронную почту, отправлять электронную почту, проверять учетные данные.
К сожалению, EWS поддерживает только базовую аутентификацию.
Если у вас есть многофакторная аутентификация через сторонний провайдер, такой как Ping, Duo или Okta, EWS можно использовать для обхода MFA.
Его также можно использовать для обхода MDM-решений.
Это было задокументировано прекрасными людьми в Black Hills InfoSec, а также Duo более года назад.
Официальным ответом Microsoft является использование предоставленного MFA, который создает специальный пароль для приложения.
Это оставляет огромное количество клиентов Office365 в сложном состоянии.
Большинство клиентов, похоже, не знают об этой проблеме или предпочитают игнорировать ее.
Другие интересные факты о EWS:
Регистрация не на 100%. Он может регистрировать неудачные попытки в ваших журналах аудита, а может и нет.
Он помогает перечислить пользователей. Если пользователь не существует, возвращается другая ошибка.
Однопользовательский тестовый режим
# ews-crack.py --mode single --username jsmith --domain contoso.com --password mypassword
Двоеточие разделяет username:password
#ews-crack.py --mode creds --file user-passwords.txt --domain contoso.com
Распределить один пароль на список учетных записей пользователей
# python ews-crack.py --mode spray --filename users.txt --domain contoso.com --password Winter2018!
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.