Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Spoofing CVE-2021-1730

Seit Februar 2021 ist eine Spoofing Lücke in Exchange 2016/2019 bekannt. Die Behebung dieser Lücke erfordert allerdings nicht die Installation eines Sicherheitsupdates, sondern eine Konfiguration hinsichtlich der Outlook Web App Einstellungen.


https://msrc.microsoft.com/upd…lnerability/CVE-2021-1730


Es besteht eine Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Spoofing, die zu einem Angriff führen kann, der es einem böswilligen Akteur ermöglicht, sich als Benutzer auszugeben.

Diese Sicherheitsanfälligkeit wird durch dieses Update behoben.

Um derartige Angriffe zu verhindern, empfiehlt Microsoft seinen Kunden, Inlinebilder von DNS-Domänen herunterzuladen, die sich vom Rest von OWA unterscheiden.


Die Empfehlung lautet also, bei Verwendung von Outlook Web App einen zusätzlichen Namen zu konfigurieren, über den dann die Inline Images ausgeliefert werden.

  • Anlegen eines zusätzlichen DNS Alias‘ (bspw. attachment.owa.example.tld), der auf die OWA veröffentlichung verweist. Es muss nicht zwingend eine Subdomain sein, sondern kann auch attachment.example.tld sein.
    Name: owa.example.tld
    Address: 172.16.201.10
    Aliases: attachment.owa.example.tld
  • Dieser Alias muss mit in das entsprechende Zertifikat, welches für Exchange verwendet wird. Wenn man also nicht Let’s Encrypt verwendet, ist ggf. mit Zusatzkosten zu rechnen.
    Edit: Von Frank Zöchlin kam der Hinweis, dass es auch mit Hilfe des im Normalfall vorhandenen autodiscover-Eintrags funktionieren sollte. Von MS gab es dazu bisher noch keine Rückmeldung.
  • Die OWA Virtual Directories sind mit dem neuen Alias zu konfigurieren. Einfacher ist es, wenn man Split-DNS verwendet (beide Optionen internal- und external werden identisch konfiguriert).
    Set-OwaVirtualDirectory -Identity "owa (default Web site)"  -ExternalDownloadHostName "attachment.owa.example.tld"
    Set-OwaVirtualDirectory -Identity "owa (default Web site)"  -InternalDownloadHostName "attachment.owa.example.tld"
  • Die Organisationskonfiguration im Exchange muss für DownloadDomains aktiviert werden.
    Set-OrganizationConfig -EnableDownloadDomains $true
    Standardmäßig ist diese Funktion deaktiviert ($false). Die Empfehlung ist, obige Konfiguration bei Nutzung des OWA vorzunehmen.
  • Der Zugriff auf OWA darf nicht über die neu konfigurierte Download Domain erfolgen, da die Lücke sonst wieder ausnutzbar ist. Also sollte man den Namen sinnvollerweise länger oder „umständlicher“ Konfigurieren, als den normalen OWA Namen. ;)
  • Ein IIS Reset oder Serverreboot aktivieren die neue Konfiguration

Ob das Feature aktiviert ist, zeigt ein einfacher Test.

  • Eine Mail mit Inline Image an sich selbst oder einen anderen Nutzer senden.
  • Per OWA anmelden und den Link dieses Bildes betrachten. Entweder mittels Rechtsklick „Bildlink kopieren“ oder über die Entwicklungstools.
  • Wird hier der oben konfigurierte Name angezeigt, ist die Konfiguration korrekt.


Weiterführende Informationen:

https://msrc.microsoft.com/upd…lnerability/CVE-2021-1730

https://eightwone.com/2021/02/…ation-exchange-2016-2019/