¿Alguna guía de fortalecimiento de Exchange recomienda deshabilitar OWA Webready? ¿Deberían ellos?

8

Por cuarta vez en más de un año, Exchange OWA ha puesto en riesgo nuestra red interna debido a una falla de ejecución remota de código que existe en el tiempo de ejecución del servidor. Este riesgo se ve agravado por el hecho Microsoft no admitirá OWA en la DMZ .

El problema tiene que ver con el servidor CAS (también conocido como aplicación web de Outlook / OWA) " Outside in "DLL . Estos son los archivos que analizan archivos PDF y archivos adjuntos de correo electrónico de Word en documentos HTML para una vista previa basada en HTML. Compararía este exploit con un desbordamiento de búfer del lado del servidor activado simplemente enviando un correo electrónico a un destinatario desprevenido.

De acuerdo con este historial de parches de Microsoft, el subcomponente webready no se adapta demasiado bien a la seguridad con todos estos parches en un período de dos años:

  

Tenga en cuenta que Sun / Oracle ha desarrollado estos archivos y que las alertas fueron públicas mucho antes de que Microsoft las hiciera públicas. Es posible que esta lista no sea exhaustiva, por lo que se implica una mayor responsabilidad.

Pregunta

  • ¿Existe alguna guía de implementación de Exchange Server que recomiende desactivar Webready como parte de la guía de seguridad?

  • ¿Cuándo se actualizó la guía de seguridad (arriba, si existe) con el consejo más reciente?

La razón por la que pregunto es porque ya no se admite Exchange en una configuración de DMZ o front-end back-end. Esto significa que cualquier violación de OWA podría violar mi red interna. (aparte de las mitigaciones del servicio local)

La segunda razón por la que pregunto es para que pueda identificar la metodología con mayor visión de futuro o más consciente de la seguridad que se refiere a Exchange. Si tal líder de pensamiento existe, quiero suscribirme a su blog, comprar su consulta, etc. Básicamente, quiero estar a la vanguardia y cerrar cualquier otra brecha de seguridad que pueda existir. Quiero saber qué otros componentes debo deshabilitar.

    
pregunta random65537 15.08.2013 - 03:31
fuente

2 respuestas

0

Microsoft parece estar abordando esto con el enfoque en Office Server, donde los documentos de Word se previsualizan (y se editan en algunos casos) en un servidor separado que reside en la DMZ.

Exchange 2013 y Lync 2013 (Skype Empresarial) tienen alguna conexión con el servidor web de Office, pero la arquitectura preferida para Exchange 2016 espera un compromiso más profundo con este formato y sugiere una implementación ampliada (granja de servidores web en una carga balancín).

La justificación nunca se especificó, pero en términos de este historial de explotaciones de Sun, estoy feliz de que el producto evolucione de esta manera.

    
respondido por el random65537 30.08.2015 - 07:10
fuente
1

Makerofthings7,

No estoy diciendo que esta sea una fuente definitiva para ti, pero es lo mejor que puedo encontrar "directamente de la boca del caballo":

La vulnerabilidad de seguridad de WebReady revela la complejidad de la ingeniería de software moderna

En ese artículo de Tony Redmond, afirma algunas cosas interesantes:

  

Microsoft recomienda deshabilitar la función en todos los servidores CAS, una   Enfoque que soluciona el problema a costa de eliminar algún usuario.   funcionalidad. Usted podría considerar que este enfoque es un poco   extremo, pero un atacante potencial podría explotar el ahora descubierto   debilidad al alentar a un usuario a ver un documento infectado (probablemente   enviado como un archivo adjunto) con OWA después de conectarse a un   CAS con orientación interna

Ahora, si entiende que "Microsoft temporalmente recomienda ..." o si Tony cree que el enfoque de MS es desactivarlo, ya que es simplemente un artículo de lujo y la seguridad es más importante. ... tendrás que hacer esa llamada. Como él dice un poco más tarde:

  

Como en todos los casos relacionados con la seguridad, debe equilibrar la   Riesgo potencial de penetración y explotación contra el efecto de   aplicando una solución que elimina la funcionalidad del usuario. Por supuesto, es   Es posible que nadie se preocupe por WebReady porque nunca es   utilizado y así nadie se lo perderá si elimina la función de todos   servidores .

Una cosa que encontré interesante en el artículo (sé que no ayuda mucho):

  

Los usuarios de Exchange Online en Office 365 no tienen que preocuparse por la   problema, ya que Exchange Online utiliza las versiones en línea de Microsoft   Aplicaciones de Office para ver formatos de archivo comunes.

Entonces, tómelo como lo que es ... artículo de blog de un hombre (aunque con algún mérito) que discute el problema y posiblemente parafraseando la postura no oficial de Microsoft.

    
respondido por el TheCleaner 22.08.2013 - 15:16
fuente

Lea otras preguntas en las etiquetas