In Microsoft Exchange Servern existiert eine Sicherheitslücke, bei welcher ein Angreifer mittels „Spoofing“ die Identität eines Outlook Web Benutzers annehmen kann.
Microsoft hat Details zu dieser Sicherheitslücke bereitgestellt: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1730
Diese Sicherheitslücke wurde zwar in Microsoft Exchange Updates vom 09.02.2021 geschlossen, aber zusätzlich zum Update muss nun ebenfalls die Konfiguration der Microsoft Exchange Server angepasst werden. Als zusätzliche Absicherung empfiehlt Microsoft, die Zugangs zu Anhängen und eingebetteten Bilder über eine zusätzliche Subdomain bereit zu stellen.
Beispiel:
Outlook Web URL: outlook.firma.tld
Neu Outlook Web Download URL: download.outlook.firma.tld
Um dieses neue Sicherheitsmerkmal zu nutzen muss die Konfiguration aller Microsoft Exchange Server minimal angepasst werden.
Benötigte Voraussetzungen:
- Eine zusätzliche zusätzliche Subdomain (z.B. download.outlook.firma.tld)
- Ein angepasstes SSL-Zertifikat welches alle Microsoft Exchange Dienstadresse enthält (SAN-Zertifikat), oder ein Wildcard-Zertifikat für die Domain
- Zugang zur Microsoft Exchange Server Powershell
Mit dem folgenden Befehl kann über die Microsoft Exchange Server Powershell die Download Domains konfigurieren:
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -ExternalDownloadHostName "<download.outlook.firma.tld>" -InternalDownloadHostName "<download.outlook.firma.tld>"<download.outlook.firma.tld> bitte durch die richtige Domain ersetzen.
Nun muss dem Microsoft Exchange Server nur noch mitgeteilt werden, das die Download Domains konfiguriert sind und auch aktiviert werden sollen:
Set-OrganizationConfig -EnableDownloadDomains $trueDas sollte nun auch schon alles gewesen sein.
Ich habe mir für meine zwecke ein kleines Powershell Script geschrieben, mit dem ich die notwendigen Änderungen relativ einfach ausführen kann, dies könnt Ihr hier einfach raus kopieren oder aus meiner kleinen Powershell Script Sammlung auf Nextcloud einfach runter laden: https://nc.syntaksis.net/s/PazboDQ5fmsYxdT
Download Exchange_2016_2019_Configure_Download_Domains.ps1:
Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
$OWAURLInternalRAW = Get-OWAVirtualDirectory -AdPropertiesOnly | Select-Object -Property InternalURL
$OWAURLExternalRAW = Get-OWAVirtualDirectory -AdPropertiesOnly | Select-Object -Property ExternalURL
$OWAURLInternalRAW = Out-String -InputObject $OWAURLInternalRAW -Stream | Select-String -Pattern "http" | Out-String
$OWAURLExternalRAW = Out-String -InputObject $OWAURLExternalRAW -Stream | Select-String -Pattern "http" | Out-String
$OWAURLInternalRAW = $OWAURLInternalRAW.replace('https://','')
$OWAURLInternal = $OWAURLInternalRAW.replace('/owa','')
$OWAURLExternalRAW = $OWAURLExternalRAW.replace('https://','')
$OWAURLExternal = $OWAURLExternalRAW.replace('/owa','')
$OWAURLInternal = $OWAURLInternal.Trim()
$OWAURLExternal = $OWAURLExternal.Trim()
$InternalDownloadDomain = "dl"
$ExternalDownloadDomain = "dl"
write-host $OWAURLInternal
write-host dl.$OWAURLExternal
Get-ClientAccessService
function DisplayMenu
{
Clear-Host
Write-Host @"
____ ___ ____ _____ _ _ _ __ __
|___ \ / _ \ |___ \ |___ / ___ _ _ _ __ | |_ __ _ | | __ ___ (_) ___ / / ___ \ \
__) || | | | __) | |_ \ / __|| | | || '_ \ | __| / _ || |/ // __|| |/ __| | | / __| | |
/ __/ | |_| | / __/ ___) | \__ \| |_| || | | || |_ | (_| || < \__ \| |\__ \ | | | (__ | |
|_____| \___/ |_____||____/ |___/ \__, ||_| |_| \__| \__,_||_|\_\|___/|_||___/ | | \___| | |
|___/ \_\ /_/
Script zum konfigurieren der Download Domains für Microsoft Exchange Server 2016 oder 2019
1) Ändere Interne Download Domain ($InternalDownloadDomain.$OWAURLInternal)
2) Ändere Externe Download Domain ($ExternalDownloadDomain.$OWAURLInternal)
3) Zeige Konfiguriete Download Domains an
4) Führe Änderungen mit den bei 1 und 2 angegebenen Daten aus
5) Aktiviere Download Domains für Microsoft Exchange 2016/2019
6) Deaktiviere Download Domains für Microsoft Exchange 2016/2019
0) EXIT
"@
$MENU = Read-Host "OPTION"
Switch ($MENU)
{
1
{
$InternalDownloadDomain = Read-Host "Neue Interne Download Domain (<InterneDownloadDomain>.$OWAURLInternal)"
DisplayMenu
}
2
{
$ExternalDownloadDomain = Read-Host "Neue Externe Download Domain (<InterneDownloadDomain>.$OWAURLInternal)"
DisplayMenu
}
3
{
clear
Get-OwaVirtualDirectory | ft Identity,*DownloadHostName
Start-Sleep -Seconds 5
DisplayMenu
}
4
{
clear
write-host "Einstellungen werden übernommen..."
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -ExternalDownloadHostName "$ExternalDownloadDomain.$OWAURLInternal" -InternalDownloadHostName "$InternalDownloadDomain.$OWAURLInternal"
Get-OwaVirtualDirectory | ft Identity,*DownloadHostName
Start-Sleep -Seconds 10
DisplayMenu
}
5
{
clear
write-host "Download Domain Konfiguration für Microsoft Exchange 2016/2019 wird aktiviert"
Set-OrganizationConfig -EnableDownloadDomains $true
Get-OrganizationConfig | select EnableDownloadDomains
Start-Sleep -Seconds 10
DisplayMenu
}
6
{
clear
write-host "Download Domain Konfiguration für Microsoft Exchange 2016/2019 wird deaktiviert"
Set-OrganizationConfig -EnableDownloadDomains $false
Get-OrganizationConfig | select EnableDownloadDomains
Start-Sleep -Seconds 10
DisplayMenu
}
0
{
Write-Host "Bye"
Break
}
default
{
Write-Host "Option not available"
Start-Sleep -Seconds 2
DisplayMenu
}
}
}
DisplayMenu