Per la quarta volta in oltre un anno, Exchange OWA ha messo a rischio la nostra rete interna a causa di un difetto di esecuzione del codice remoto esistente sul runtime del server. Questo rischio è aggravato dal fatto che Microsoft non supporterà OWA nella DMZ .
Il problema ha a che fare con il server CAS (noto anche come Outlook Web App / OWA) " Outside in "DLL . Questi sono i file che analizzano PDF e allegati di posta elettronica di Word in documenti HTML per l'anteprima basata su HTML. Vorrei confrontare questo exploit con un overflow del buffer sul lato server attivato semplicemente inviando un'email a un destinatario ignaro.
In base alla cronologia delle patch di Microsoft, il sottocomponente Webready non è corroso troppo a livello di sicurezza con tutte queste patch in un periodo di due anni:
- MS13-061 (Nota: Aggiornamento richiamato il 14/08/2013 a causa di un bug)
- MS13-012
- MS12-080
- MS12-058
- MS16-079
Note these files are developed by Sun/Oracle and the alerts were public long before Microsoft made these public. This list may not be all inclusive, therefore a greater liability is implied.
Domanda
-
Esistono indicazioni di implementazione di Exchange Server che consigliano di disabilitare Webready come parte delle indicazioni di sicurezza?
-
Quando sono state aggiornate le indicazioni di sicurezza (in alto, se esiste) con il consiglio più recente?
Il motivo per cui lo sto chiedendo è perché Exchange non è più supportato in una configurazione back-end DMZ o front-end. Ciò significa che qualsiasi violazione di OWA potrebbe violare la mia rete interna. (mitigazioni del localservice a parte)
La seconda ragione che sto chiedendo è che posso identificare la metodologia più lungimirante o più attenta alla sicurezza che riguarda Exchange. Se esiste un tale leader di pensiero, voglio iscrivermi al loro blog, acquistare la loro consulenza, ecc. Fondamentalmente voglio essere in testa alla curva e chiudere qualsiasi altra lacuna di sicurezza possa esistere. Voglio sapere quali altri componenti dovrei disabilitare.