Por cuarta vez en más de un año, Exchange OWA ha puesto en riesgo nuestra red interna debido a una falla de ejecución remota de código que existe en el tiempo de ejecución del servidor. Este riesgo se ve agravado por el hecho Microsoft no admitirá OWA en la DMZ .
El problema tiene que ver con el servidor CAS (también conocido como aplicación web de Outlook / OWA) " Outside in "DLL . Estos son los archivos que analizan archivos PDF y archivos adjuntos de correo electrónico de Word en documentos HTML para una vista previa basada en HTML. Compararía este exploit con un desbordamiento de búfer del lado del servidor activado simplemente enviando un correo electrónico a un destinatario desprevenido.
De acuerdo con este historial de parches de Microsoft, el subcomponente webready no se adapta demasiado bien a la seguridad con todos estos parches en un período de dos años:
- MS13-061 (Nota: Actualización recordada el 14/8/2013 debido a un error)
- MS13-012
- MS12-080
- MS12-058
- MS16-079
Tenga en cuenta que Sun / Oracle ha desarrollado estos archivos y que las alertas fueron públicas mucho antes de que Microsoft las hiciera públicas. Es posible que esta lista no sea exhaustiva, por lo que se implica una mayor responsabilidad.
Pregunta
-
¿Existe alguna guía de implementación de Exchange Server que recomiende desactivar Webready como parte de la guía de seguridad?
-
¿Cuándo se actualizó la guía de seguridad (arriba, si existe) con el consejo más reciente?
La razón por la que pregunto es porque ya no se admite Exchange en una configuración de DMZ o front-end back-end. Esto significa que cualquier violación de OWA podría violar mi red interna. (aparte de las mitigaciones del servicio local)
La segunda razón por la que pregunto es para que pueda identificar la metodología con mayor visión de futuro o más consciente de la seguridad que se refiere a Exchange. Si tal líder de pensamiento existe, quiero suscribirme a su blog, comprar su consulta, etc. Básicamente, quiero estar a la vanguardia y cerrar cualquier otra brecha de seguridad que pueda existir. Quiero saber qué otros componentes debo deshabilitar.