Le linee guida per l'hardening di Exchange raccomandano di disabilitare OWA Webready? Dovrebbero?

8

Per la quarta volta in oltre un anno, Exchange OWA ha messo a rischio la nostra rete interna a causa di un difetto di esecuzione del codice remoto esistente sul runtime del server. Questo rischio è aggravato dal fatto che Microsoft non supporterà OWA nella DMZ .

Il problema ha a che fare con il server CAS (noto anche come Outlook Web App / OWA) " Outside in "DLL . Questi sono i file che analizzano PDF e allegati di posta elettronica di Word in documenti HTML per l'anteprima basata su HTML. Vorrei confrontare questo exploit con un overflow del buffer sul lato server attivato semplicemente inviando un'email a un destinatario ignaro.

In base alla cronologia delle patch di Microsoft, il sottocomponente Webready non è corroso troppo a livello di sicurezza con tutte queste patch in un periodo di due anni:

Note these files are developed by Sun/Oracle and the alerts were public long before Microsoft made these public. This list may not be all inclusive, therefore a greater liability is implied.

Domanda

  • Esistono indicazioni di implementazione di Exchange Server che consigliano di disabilitare Webready come parte delle indicazioni di sicurezza?

  • Quando sono state aggiornate le indicazioni di sicurezza (in alto, se esiste) con il consiglio più recente?

Il motivo per cui lo sto chiedendo è perché Exchange non è più supportato in una configurazione back-end DMZ o front-end. Ciò significa che qualsiasi violazione di OWA potrebbe violare la mia rete interna. (mitigazioni del localservice a parte)

La seconda ragione che sto chiedendo è che posso identificare la metodologia più lungimirante o più attenta alla sicurezza che riguarda Exchange. Se esiste un tale leader di pensiero, voglio iscrivermi al loro blog, acquistare la loro consulenza, ecc. Fondamentalmente voglio essere in testa alla curva e chiudere qualsiasi altra lacuna di sicurezza possa esistere. Voglio sapere quali altri componenti dovrei disabilitare.

    
posta random65537 15.08.2013 - 03:31
fonte

2 risposte

0

Sembra che Microsoft stia affrontando questo problema con l'attenzione su Office Server, dove i documenti word vengono visualizzati in anteprima (e modificati in alcuni casi) su un server separato che risiede nella DMZ.

Exchange 2013 e Lync 2013 (Skype for Business) hanno entrambi una connessione con Office Web Server, ma Preferred Architecture for Exchange 2016 si aspetta un impegno più profondo per questo formato e suggerisce una distribuzione estesa (Web Farm su un carico bilanciatore).

La giustificazione non è mai stata specificata, ma in termini di questa cronologia degli exploit di Sun, sono felice che il prodotto si stia evolvendo in questo modo.

    
risposta data 30.08.2015 - 07:10
fonte
1

Makerofthings7,

Non sto dicendo che questa è una fonte definitiva per te, ma è il meglio che posso trovare "direttamente dalla bocca del cavallo":

La vulnerabilità alla sicurezza di WebReady rivela la complessità dell'ingegneria del software moderna

In quell'articolo di Tony Redmond, afferma alcune cose interessanti:

Microsoft recommends disabling the feature on all CAS servers, an approach that fixes the problem at the expense of removing some user functionality. You might consider such an approach to be a tad extreme, but a potential attacker might exploit the now-discovered weakness by encouraging a user to view an infected document (probably sent as a message attachment) with OWA after connecting to an internally-facing CAS

Ora, che tu intenda ciò significa "Microsoft temporaneamente consiglia ..." o se Tony crede che l'approccio di MS sia disabilitarlo poiché è semplicemente un oggetto di lusso e la sicurezza è più importante. .. dovrai fare quella chiamata. Come afferma poco dopo:

As in all instances to do with security, you have to balance the potential risk of penetration and exploitation against the effect of applying a fix that removes user functionality. Of course, it’s entirely possible that no one cares about WebReady because it’s never used and so no one will miss it if you remove the feature from all servers.

Una cosa che ho trovato interessante nell'articolo (so che non è di grande aiuto):

Users of Exchange Online in Office 365 don’t need to worry about the problem as Exchange Online uses the online versions of Microsoft’s Office applications to view common file formats.

Quindi, prendilo per quello che è ... articolo del blog di un uomo (anche se con qualche merito) discutendo il problema e forse parafrasando la posizione non ufficiale di Microsoft.

    
risposta data 22.08.2013 - 15:16
fonte

Leggi altre domande sui tag