Hallo zusammen,
ich habe auf meinen Exchange Servern (OS: 2016; CU21 & SecUpdate) das HealthChecker.ps1 ausgeführt. Hier wird mir nun eine Lücke namens CVE-2021-1730 aufgezeigt von der ich das erste Mal gehört habe. Es geht um eine separate Download Domain für OWA.
Habt ihr hier schon etwas umgesetzt oder ist es zwingend notwendig? Wir haben vor unserer Exchange Umgebung eine Sophos Firewall zustehen die nur berechtigte Personen Zugriff auf OWA von Extern gibt aber Intern kann das jeder nutzen.
MfG Paul
MfG Paul
Wir haben vor unserer Exchange Umgebung eine Sophos Firewall zustehen die nur berechtigte Personen Zugriff auf OWA von Extern gibt aber Intern kann das jeder nutzen.
Selbst wenn ihr da ne Sophos habt, es geht in dem Fall um das Ausnutzen von Cookies die bei einer angemeldeten Session anfallen.
Vielleicht hilft dir das:
Ich habe das bei einigen Kunden inzwischen auf die normalerweise sowieso vorhandene autodiscover Domain gelegt. Funktioniert problemlos. Bei anderen mit Lets Encrypt ists ja mit einer Subdomain auch leicht und schnell eingerichtet.
Bei Fragen gib Bescheid.
Norbert
Hallo Norbert,
da muss ich wohl einen weiteren Namen auf unser SAN Zertifikat nehmen (Autodiscover ist keine Option als Name). Aber wenn dies auf dem Zertifikat steht kann ein Angreifer dieses auch einfach auslesen und kennt den Pfad was wiederum die Lücke weiterhin öffnet.
Was empfiehlst du eher als Namen da wir an der Sophos nur owa.firma.de als zulässig erlaubt haben? Wenn wir nun bspw. attachment.owa.firma.de nehmen muss dieses ja auch von Extern erreichbar sein damit die Bilder geladen werden. Was hätte die Nicht Erreichbarkeit womöglich noch für Auswirkungen?
MfG Paul
MfG Paul
Angreifer dieses auch einfach auslesen und kennt den Pfad was wiederum die Lücke weiterhin öffnet.
Ich glaub du verstehst das Angriffszenario falsch. Es geht darum, dass der User der OWA nutzt eine präparierte Mail mit Bild öffnet und dann die Lücke (in diesem Moment ausgenutzt wird). Der User ist also das Problem. Die Download Domains sorgen dafür, dass das Bild von einer anderen Domain als der mit der der User sich am OWA anmeldet heruntergeladen wird. Er darf sich deswegen natürlich _nicht_ mit der Downloaddomain am OWA anmelden (steht auch so im Artikel).
Was hätte die Nicht Erreichbarkeit womöglich noch für Auswirkungen?
Ähm das keine Bilder in OWA angezeigt werden? ;) Was stört dich denn daran, dass der selbe Exchange über zwei Namen von extern erreichbar ist? Mehr Lücken werden es dadurch auch nicht. ;)
Also auf Gut Deutsch eine neue SubDomain auf das Zertifikat bringen und die Einstellungen am Exchange setzen. Erstellen einen DNS Alias (Intern und Extern) der auf die OWA Domain zeigt. An der Sophos muss dann also nichts geändert werden.
Vielen Dank für die Erklärung
MfG Paul
An der Sophos muss dann also nichts geändert werden.
Kommt auf deine Veröffentlichung an. Könnte natürlich sein, dass die entsprechenden Hostnamen in der Konfig stehen müssen. Ansonsten ja gut verstanden. :)
In meiner Testumngebung hat es geklappt und die URL vom Inline Bild wird mit der neuen Domäne angezeigt.
MfG Paul
Alles klar. Danke für die Rückmeldung.
Sorry, dass ich mich hier nur anhänge, aber wie ist das denn, wenn OWA nicht von außerhalb erreichbar ist, sondern nur per VPN? Ist das Spoofing dann auch noch möglich oder muss man diese Mitigation dann nicht zwangsweise umsetzen? Leider ist der MS Artikel da nicht wirklich hilfreich.
Danke
Ja natürlich ist es dann auch möglich. Auch im VPN kann man das falsche Bild anklicken. Ein schönes Beispiel, dass VPN eben nicht immer eine Lösung für ein Problem ist. ;)
Hallo Norbert,
anscheinend bin ich noch nicht richtig wach aber folgendes verstehe ich noch nicht ganz. Ich habe in meiner Testumgebung bei einem Inline Bild nun einen separaten Link ( https://attachment-owa.lab.firma.de/owa/..................). Am KEMP (Intern) und Sophos (Externer Zugriff auf OWA) habe ich den Eintrag bei "Allowed Virtual Hosts" um die DownloadDomain erweitert. Heute morgen wollte ich einmal einen Test machen und diesen Eintrag "attachment-owa.lab.firma.de" nochmal entfernen und ging davon aus, dass das Bild nicht geladen wird im Webfrontend von OWA, was aber nicht der Fall ist. Das Bild wird weiterhin angezeigt.
Ist es nun zwingend notwendig die neue Domäne bei "Allowed Virtual Hosts" zu hinterlegen oder besser nicht?
MfG Paul
Warum splittet man denn intern und extern, wenn man Kemp nutzt? Ich persönlich würde da den Kemp Reverse Proxy bevorzugen (kann man ja mit mehreren Interfaces auch in eine DMZ packen. Ich gehe also davon aus, dass du internal access trotzdem mit ESP konfiguriert hast? Im ganzen oberen Thread steht genau nichts von Kemp, deswegen kann ich dir grad nur bedingt folgen. ;)
Wohin zeigt attachment-owa... denn intern?
Hallo Norbert,
das wurde bei uns so vom Externen empfohlen sowie auch die Trennung der Namen (Domäne Intern und Extern). Wir haben von Extern halt eine Sophos die nach erfolgreichen Login des Benutzers zur KEMP weiterleitet und die KEMP nutzen wir nur intern für Exchange (Lizenz ohne WAF).
Ich müsste halt nur wissen ob die neue DownloadDomain als "Allowed Virtual Hosts" Intern und Extern hinterlegt werden muss denn wenn ich diese nicht hinterlege kann wird das Bild weiterhin in OWA angezeigt.
MfG Paul
Deine Antwort ändert jetzt aber nichts an meiner und beantwortet leider auch nur bedingt die von mir gestellten Fragen. Solange man nichts von deiner Konfig weiß, kann ich zumindest nicht weiter helfen.
Ja intern (sowie auch extern an der Sophos) ist auch ESP aktiviert also der Zugriff nur über den/die Namen im Feld "Allowed Virtual Hosts" erlaubt.
MfG Paul
Ja ok, aber du solltest im Zweifel alle Fragen beantworten ;)
ESP aktiviert also der Zugriff nur über den Namen im Feld "Allowed Virtual Hosts" erlaubt.
Global oder im subVS?
Ja ich hatte da wohl deine Frage überlesen, sorry ?
Wir haben die "Allowed Virtual Hosts" nicht global am VS aktiviert sondern am SubVS von OWA mit "Delegate to Server" aktiviert.
MfG Paul
Wohin zeigt attachment-owa... denn intern?
Also wenn es ohne allowed host bei euch geht, dann stimmt meiner Meinung nach irgendwas nicht. Denn für sowas hat man im Zweifel ja einen Reverse Proxy. Also schau im Zweifel mal nach, was denn dein Browser da tut. Ggf. hilft fiddler. Ich hab aktuell bei Kemp ein Ticket offen, dass genau umgekehrte Symptome bearbeitet. Mit aktivierten Downloaddomains wird das Bild nicht angezeigt. Nimmt man die Kemp ESP aus der Gleichung, läufts problemlos.
Ja so ganz verstehe ich das auch nicht denn wenn ich den Eintrag attachment-owa.lab.firma.de beim SubVS (OWA) rausnehme wird das Bild weiterhin angezeigt. Steht Er drin ist das Bild weiterhin sichtbar aber man könnte sich dann auch über die URL https://attachment-owa.lab.firma.de/owa an OWA anmelden und das soll doch vermieden werden.
MfG Paul