Autodiscover-Design...
 
Notifications
Clear all

Autodiscover-Designfehler / Exchange Einstellungen

10 Posts
4 Users
0 Reactions
1,834 Views
(@edvkservice)
Active Member
Joined: 5 years ago
Posts: 7
Topic starter  

Hallo,

ich habe gerade den Artikel bzgl. einer neuen Sicherheitsproblematik in Bezug auf Exchange Autodiscover gelesen: https://www.borncity.com/blog/2021/09/22/microsoft-exchange-autodiscover-designfehler-ermglicht-abgriff-von-zugangsdaten/

Es sollte ja normal ohne Probleme möglich sein die HTTP Basis-Authentifizierung in Exchange zu deaktivieren, oder könnte es hier zu Problemen mit Outlook / ActiveSync kommen? Es kommt ausschließlich Exchange 2016 zum Einsatz und Outlook 2013 SP1 oder neuer.

Welche Einstellungen sollten hier im Exchange am besten gesetzt werden?

Outlook Anywhere: Auf NTLM oder Aushandeln umstellen?

Virtuelle Verzeichnisse: Muss hier lediglich bei Autodiscover die Standardauthentifizierung deaktiviert werden?

Danke für Euren Input & Viele Grüße


   
Quote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @edvkservice

Outlook Anywhere: Auf NTLM oder Aushandeln umstellen?

 

Ich hab das auch noch nicht komplett durch, aber Outlook Anywhere solltest du grundsätzlich deaktivieren und auf Mapi/http umschalten. NTLM ist afaik der Standard und sollte im Allgemeinen nicht einfach auf Standardauth konfiguriert werden. Ändert aber in vielen Fällen eben nichts daran, dass der Client offenbar das hauptsächliche Problem zu sein scheint. Da kann man an seinem Exchange abdichten wie man will, das verhindert eben nicht, dass irgendwer mit irgendeinem Client und seinen Credentials im Internet falsch abgebogen wird. Zumindest liest sich das derzeit so für mich.


   
ReplyQuote

(@exsus)
Trusted Member
Joined: 4 years ago
Posts: 83
 

Ich habe versucht die Sicherheitslücke mit MS Office 2016 nachzuvollziehen - kein Erfolg. Testbeschreibung im MCSE Forum.


   
ReplyQuote
(@carstengeh)
Eminent Member
Joined: 5 years ago
Posts: 36
 

Alternativ zur Firewall habe ich hier noch diese GPOs von MS gefunden

https://docs.microsoft.com/en-us/outlook/troubleshoot/profiles-and-accounts/how-to-control-autodiscover-via-group-policy

Damit lässt sich Autodiscover in Outlook komplett deaktivieren. Für extern evtl die Registry Einträge bereitstellen. Am Smartphone allerdings...naja ? 


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Ob das wirklich hilft? Und wie gesagt, damit kannst du dann ja im Zweifel auch kein Konto mehr einrichten, wenn du alles abdrehst. Smartphone hast du erwähnt, aber auch MacOS (Mail App, Outlook for Mac) usw. nutzen das. Und ggf. auch diverse andere Dienste oder Tools, die man in der Form aktuell vielleicht gar nicht auf dem Schirm hat.


   
ReplyQuote
(@exsus)
Trusted Member
Joined: 4 years ago
Posts: 83
 

Ich würde von voreiligen Aktionen abraten. Lies Dir mal die Postings im MCSE Board zu dem Thema durch. Hier konnte der Fehler mit aktuellen Outlook Clients nicht nachvollzogen werden.


   
ReplyQuote

(@carstengeh)
Eminent Member
Joined: 5 years ago
Posts: 36
 

Hab ich mir durchgelesen. Das Problem ist, dass dieser simulierte Versuch jeglichen Art von Man in the middle, Netzwerkkompromittierung ausschließt.

@NorbertFe

Ich denke dann spielen zwei Dinge eine große Rolle: Wie ist dein autodiscover konfiguriert und was für eine Authentifizierungsmethode wird am Client verwendet.


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @carstengeh

Wie ist dein autodiscover konfiguriert und was für eine Authentifizierungsmethode wird am Client verwendet.

Mein Autodiscover ist vollkommen irrelevant, weil der Client (um den gehts ja) nie mit meinem Server spricht. Sonst gäbs ja kein Problem. Zumindest seh ich das nach aktuellem Status so.


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @carstengeh

Hab ich mir durchgelesen. Das Problem ist, dass dieser simulierte Versuch jeglichen Art von Man in the middle, Netzwerkkompromittierung ausschließt.

 

Davon kannst du bei mehreren 100tausend Versuchen draußen doch aber auch nicht ausgehen, dass die alle "vorher" schon kompromittiert sind (dann wärs ja egal).


   
ReplyQuote
(@exsus)
Trusted Member
Joined: 4 years ago
Posts: 83
 
Veröffentlicht von: @carstengeh

Hab ich mir durchgelesen. Das Problem ist, dass dieser simulierte Versuch jeglichen Art von Man in the middle, Netzwerkkompromittierung ausschließt.

Dir ist schon klar, dass die beschriebene Sicherheitslücke nicht auf einer Man-in-the-middle Angriff passiert, oder? Das Problem ist, das bei dem "alten" POX Autodiscover Format am Ende der Suchkette die Domain autodiscover.tld angefragt wird. Und auch nur dann, wenn vorher die Autodiscover Anfrage nicht erfolgreich beantwortet wurde. Wenn autodiscover.tld von "bösen" Buben registriert wurde, dann können diese unter Umständen die Login-Daten abgreifen. Soweit ich das eruiert habe (siehe MCSE Thread) verwenden die Outlook Clients seit 2010 SOAP und sind damit nicht anfällig. Was meine Tests auch bestätigt haben.

Wenn Du einem Man-in-the-middle Angriff ausgesetzt bist, hast Du andere Probleme als Autodiscover.


   
ReplyQuote

Share: