Toutes les directives de durcissement des échanges recommandent-elles à désactiver OWA WebReady? Devraient-ils?
Pour la quatrième fois de plus d'un an, Exchange OWA a mis notre réseau interne à risque en raison d'une faille d'exécution de code à distance qui existe sur le temps d'exécution du serveur. Ce risque est composé par le fait Microsoft ne prendra pas en charge OWA dans le DMZ .
Le problème concerne avec le serveur CAS (également appelé application web Outlook Web/owa) "DLL" à l'extérieur " . Ce sont les fichiers qui analysent les pièces jointes PDFS et Word Email dans des documents HTML pour la prévisualisation basée sur HTML. Je comparais cet exploit à un débordement tampon côté serveur déclenché en envoyant simplement un courrier électronique à un destinataire sans méfiance.
Selon cet historique des correctifs de Microsoft, le sous-composant WebReady n'est pas trop bien sûr de la sécurité de la sécurité avec tous ces correctifs dans une période de deux ans:
- MS13-061 (REMARQUE: Mise à jour rappelée du 8/14/201 en raison d'un bug)
- MS13-012
- MS12-08
- MS12-058
- MS16-079
Remarque Ces fichiers sont développés par Sun/Oracle et les alertes étaient publiques bien avant que Microsoft n'a rendu ces publics. Cette liste peut ne pas être tout compris, donc une plus grande responsabilité est impliquée.
Question
Existe-t-il des conseils de déploiement du serveur Exchange qui recommande la désactivation de WebReady dans le cadre de la direction de la sécurité?
Quand les directives de sécurité (ci-dessus, si elles existent) sont mises à jour avec les conseils les plus récents?
La raison pour laquelle je demande est que l'échange n'est plus pris en charge dans un DMZ ou la configuration du backend front-end. Cela signifie que toute violation de l'OWA pourrait enfreindre mon réseau interne. (Localservice Mittigations de côté)
La deuxième raison pour laquelle je demande est donc pour pouvoir identifier la pensée la plus avancée, ou la plupart des méthodes conscientes de sécurité qui se rapportent à l'échange. Si un tel chef de pensée existe, je souhaite vous abonner à leur blog, acheter leur conseil, etc. Fondamentalement, je veux être en avance sur la courbe et fermer toutes les autres lacunes de sécurité. Je veux savoir quels autres composants devrais-je désactiver.
Microsoft semble aborder cela avec l'accent mis sur Office Server, où les documents Word sont prévisualisés (et édité dans certains cas) sur un serveur distinct qui réside dans le DMZ.
Exchange 2013 et Lync 2013 (Skype for Business) ont tous deux une certaine connexion au serveur Web Office, mais l'architecture préférée pour Exchange 2016 s'attend à un engagement plus profond envers ce format et suggère un déploiement élargi (ferme Web sur un équilibreur de charge).
La justification n'a jamais été spécifiée, mais en termes de cette histoire d'exploitation Sun Exploit, je suis heureux que le produit évolue de cette façon.
Makerofthings7,
Je ne dis pas que c'est une source définitive pour vous, mais c'est le meilleur que je puisse trouver "directement de la bouche du cheval":
La vulnérabilité de la sécurité WebReady révèle la complexité de l'ingénierie logicielle moderne
Dans cet article de Tony Redmond, il déclare quelques choses intéressantes:
Microsoft recommande de désactiver la fonctionnalité de tous les serveurs CAS, une approche qui corrige le problème à la charge de supprimer certaines fonctionnalités de l'utilisateur. Vous pourriez envisager une telle approche de Soyez un TAD extrême, mais un attaquant potentiel pourrait exploiter la faiblesse maintenant découverte en encourageant un utilisateur à afficher un document infecté (probablement envoyé sous forme d'une pièce jointe de message) avec OWA après la connexion à une CAS à l'intérieur de l'intérieur.
Maintenant, si vous prenez cela pour signifier "Microsoft temporairement Recommande ..." ou si Tony croit que l'approche de MS 'est de le désactiver car il s'agit simplement d'un article de luxe et de sécurité est plus important. .Vous devrez faire cet appel. Comme il déclare un peu plus tard:
Comme dans tous les cas de la sécurité, vous devez équilibrer le risque potentiel de pénétration et d'exploitation contre l'effet de l'application d'un correctif qui supprime la fonctionnalité des utilisateurs. Bien sûr, Il est tout à fait possible que personne ne se soucie de webready, car il n'est jamais utilisé et que personne ne le manquera si vous supprimez la fonctionnalité de tous les serveurs .
Une chose que j'ai trouvée intéressante dans l'article (je sais que cela ne vous aide pas tout à fait):
Les utilisateurs d'Exchange Online in Office 365 n'ont pas besoin de s'inquiéter du problème que Exchange Online utilise les versions en ligne des applications de bureau de Microsoft pour afficher les formats de fichiers courants.
Alors, prenez-le pour ce que c'est ... un article de blog d'un homme (bien que quelque mérite) discute de la question et éventuellement paraphraser la position non officielle de Microsoft.