none
Exchange 2013 - MS-Server-ActiveSync - Method "OPTIONS" RRS feed

  • Domanda

  • Buongiorno a tutti,

    Vi chiedo se avete avuto modo di mitigare una "Vulnerability Assessment (VA)" riguardo l'utilizzo del metodo "OPTIONS" utilizzato da ActiveSync in Exchange 2013.

    In pratica, abilitando Exchange ActiveSync sulla singola Mailbox, si ha la possibilità di sincronizzare la posta elettronica fuori la sede su dispositivi mobile; dai logs è possibile vedere il metodo utilizzato: .....OPTIONS /Microsoft-Server-ActiveSync/default.eas Cmd=Options&User=etc.....

    Ora, da un Vulnerability Assessment eseguito da un'azienda che si occupa di Sicurezza, è emerso che il metodo OPTIONS deve essere disabilitato; la configurazione risiede sui Reverse Proxy in DMZ che espongono il servizio.

    Abbiamo già provveduto a disabilitare tale metodo, ma i dispositivi mobile hanno smesso di sincronizzare le folders Exchange e non è possibile utilizzare ActiveSync; fatto subito rollback della configurazione.

    Nessun problema riscontrato su OWA, che utilizza i metodi GET/POST/HEAD.

    Il seguente link conferma, tra l'altro, l'importanza del metodo OPTIONS in ActiveSync:

    https://docs.microsoft.com/en-us/previous-versions/office/developer/exchange-server-interoperability-guidance/jj127441(v=exchg.140)

    Vi chiedo se qualcuno già si è imbattuto in questo problema, sempre che sia possibile avere un workaround per porter utilizzare ActiveSync.

    Grazie a tutti per il supporto

    sabato 21 novembre 2020 10:47

Risposte

  • Buongiorno Gastone,

    grazie ancora per la cortese disponibilità.

    In effetti neanche io ho trovato "grandi" cose cercando la vulnerabilità del metodo OPTIONS.

    L'azienda che si è occupata dell'attività ha fornito un documento di VA e un documento di Remediation Plan; per Apache è stato chiesto esplicitamente di disabilitare il metodo OPTIONS.

    Chiaramente se un prodotto "by design" utilizza il metodo OPTIONS, la vulnerabilità va mitigata non "chiusa", altrimenti si cambia prodotto, almeno credo.

    Per ora direi che basta così, chiederemo lumi all'owner dell'attività, anche perchè come affermi giustamente: Far "girare" tools / distribuzioni che rilevano delle vulnerabilità, son capaci tutti.

    Gastone, grazie ancora per la pazienza e buona giornata.

    Ok adesso ci siamo. E' una vulnerabilità di apache (cercavo per exchange),  https://www.cvedetails.com/cve/CVE-2017-9798/ risolvibile aggiornando con una versione maggiore della 2.4.27 (o disabilitando options), poi faranno una VA sulla nuova versione....

    This affects the Apache HTTP Server through 2.2.34 and 2.4.x through 2.4.27.

    Mi piace fare il lavoro degli altri, gratis!!


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    • Contrassegnato come risposta SysAdmin_IT lunedì 23 novembre 2020 09:19
    lunedì 23 novembre 2020 09:11
    Moderatore

Tutte le risposte

  • Potresti negare il verbo OPTIONS, non so come questo possa influire nella negoziazione del protocollo di active-sync.

    Leggendo "In some cases, firewalls may prevent the server from sending an HTTP OPTIONS command response that contains the MS-ASProtocolVersions header." dovrebbe comunque funzionare tutto anche senza OPTIONS.

    Provi, se funziona ok, altrimenti, valuterai il male minore...


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    sabato 21 novembre 2020 13:46
    Moderatore
  • Buonasera Gastone,

    grazie per la cortese risposta.

    Cercando in rete, ho trovato un altro articolo interessante:

    https://social.technet.microsoft.com/Forums/office/en-US/73808d25-6493-4bfd-8e08-d5e500273d53/disable-http-method-over-iis-for-exchange?forum=exchangesvrgeneral

    Da dove apprendo:

    "This morning I've just found that iPhones are unable to sync mail if I deny the OPTIONS verb in IIS"

    Tieni presente che le modifiche del metodo "OPTIONS" sono imputabili al Reverse Proxy Apache in DMZ, posto davanti ai server Exchange, con la seguente sintassi:

    <LimitExcept GET HEAD POST>
           Deny from all
    </LimitExcept>

    Grazie per il supporto

    sabato 21 novembre 2020 15:36
  • ...

    Tieni presente che le modifiche del metodo "OPTIONS" sono imputabili al Reverse Proxy Apache in DMZ, posto davanti ai server Exchange, con la seguente sintassi:

    <LimitExcept GET HEAD POST>
           Deny from all
    </LimitExcept>

    Grazie per il supporto

    Mi sembra un po' troppo restrittiva la configurazione sopra, non credo che exchange/owa possa funzionare correttamente.

    Non capisco il tuo post.Quindi hai già provato a mitigare su apache?

    e perchè non hai limitato solo il verbo ?

    <Limit OPTIONS>
           Deny from all
    </Limit>


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here


    sabato 21 novembre 2020 17:09
    Moderatore
  • Buonasera Gastone,

    questa stringa non l'ho provata.

    Grazie, ci aggiorniamo.

    sabato 21 novembre 2020 18:10
  • Buonasera Gastone,

    purtroppo anche con la stringa suggerita il metodo OPTIONS risulta inibito, come giusto che sia; nei logs IIS non arriva nessuna richiesta dai dispositivi mobile; Owa è ok.

    Sui dispositivi mobile, dopo la modifica di Apache, ActiveSync non aggiorna le folders e chiede sempre la password di accesso, seppur memorizzata.

    Ho appena eseguito roll-back ed è tutto ok.

    Ho notato che all'interno delle singole mailbox è possibile abilitare, oltre ActiveSync, anche "OWA for device". Ti chiedo se secondo te potrebbe essere l'alternativa ad ActiveSync, onde evitare l'utilizzo del metodo "OPTIONS" e quindi mitigare il VA:

    Grazie per il cortese supporto e disponibilità.

    domenica 22 novembre 2020 14:26
  • Ho cercato qualcosa sulla vulnerabilità  exchange OPTIONS, non ho trovato nulla di significativo, dico questo, perchè potrebbero esserci modalità per limitare/mitigare, ma per fare ciò, bisogna conoscere nel drttaglio il tipo di attacco.

    Dovrebbe aiutarti chi ha effettuato la VA. Far "girare" tools / distribuzioni che rilevano delle vulnerabilità, son capaci tutti.
    L'analisi del rischio e le attività da intraprendere dopo la VA, sono il valore aggiunto!
    Chiudere un servizio o non farlo funzionare, non è la soluzione, dovrebbero fornirti le indicazioni per risolvere!

    Lavorando con il modulo rewrite di apache, sicuramente è possibile fare qualcosa di più sofisticato che permetta il funzionamento degli iphone ed al contempo riduca l'esposizione.

    Hai qualche riferimento al riguardo della vulnerabilità?


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here


    domenica 22 novembre 2020 21:18
    Moderatore
  • Buongiorno Gastone,

    grazie ancora per la cortese disponibilità.

    In effetti neanche io ho trovato "grandi" cose cercando la vulnerabilità del metodo OPTIONS.

    L'azienda che si è occupata dell'attività ha fornito un documento di VA e un documento di Remediation Plan; per Apache è stato chiesto esplicitamente di disabilitare il metodo OPTIONS.

    Chiaramente se un prodotto "by design" utilizza il metodo OPTIONS, la vulnerabilità va mitigata non "chiusa", altrimenti si cambia prodotto, almeno credo.

    Per ora direi che basta così, chiederemo lumi all'owner dell'attività, anche perchè come affermi giustamente: Far "girare" tools / distribuzioni che rilevano delle vulnerabilità, son capaci tutti.

    Gastone, grazie ancora per la pazienza e buona giornata.

    lunedì 23 novembre 2020 08:06
  • Buongiorno Gastone,

    grazie ancora per la cortese disponibilità.

    In effetti neanche io ho trovato "grandi" cose cercando la vulnerabilità del metodo OPTIONS.

    L'azienda che si è occupata dell'attività ha fornito un documento di VA e un documento di Remediation Plan; per Apache è stato chiesto esplicitamente di disabilitare il metodo OPTIONS.

    Chiaramente se un prodotto "by design" utilizza il metodo OPTIONS, la vulnerabilità va mitigata non "chiusa", altrimenti si cambia prodotto, almeno credo.

    Per ora direi che basta così, chiederemo lumi all'owner dell'attività, anche perchè come affermi giustamente: Far "girare" tools / distribuzioni che rilevano delle vulnerabilità, son capaci tutti.

    Gastone, grazie ancora per la pazienza e buona giornata.

    Ok adesso ci siamo. E' una vulnerabilità di apache (cercavo per exchange),  https://www.cvedetails.com/cve/CVE-2017-9798/ risolvibile aggiornando con una versione maggiore della 2.4.27 (o disabilitando options), poi faranno una VA sulla nuova versione....

    This affects the Apache HTTP Server through 2.2.34 and 2.4.x through 2.4.27.

    Mi piace fare il lavoro degli altri, gratis!!


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    • Contrassegnato come risposta SysAdmin_IT lunedì 23 novembre 2020 09:19
    lunedì 23 novembre 2020 09:11
    Moderatore
  • Ciao Gastone,

    grazie ancora e buona giornata.

    lunedì 23 novembre 2020 09:18