Borús világot élünk az IT biztonság területén manapság, egyre több gyártó megszünteti a lokálisan futtatható, menedzselhető (on-premise) alkalmazását és átnyergel a felhős szolgáltatásokra.

A felhős alkalmazások használatával, miközben rendkívül kedvező árú szolgáltatásokat veszünk igénybe, jellemzően rögtön le is mondunk az adataink kontrolljáról és rábízzuk azokat egy távoli szolgáltatóra Amerikában/Izraelben/Kínában - a megfelelő rész aláhúzandó. Közben azzal nyugtatjuk magunkat, hogy egy nagy felhős szolgáltató sokkal jelentősebb összeget tud védelemre költeni, mint egy hazai közepes, vagy nagyvállalat. Ugyan mi baj történhet?

Ha beüt egy biztonsági incidens, legfeljebb elnézést kér a szolgáltató és megígéri, hogy ez többet nem fordul elő, majd több-kevesebb egyeztetés után visszatéríti az adott kompromittált előfizetéshez tartozó pár dolláros havidíjat. Hallott már ilyet a világ és mégis forog tovább a Föld.

Van azonban példa arra is, hogy egy gyártó felhős megoldása - még ha implicit módon nem is kértük - segíthet biztonsági problémák kezelésében.

Ha történetesen Microsoft Exchange alapú, on-premise levelezést használunk, az egy alapvetés, hogy az ActiveSync felület elérhetősége korlátozás nélküli, hiszen mi történne, ha a szervezet vezetői a világ bármely részén járva nem tudnák azonnal elérni a leveleiket? Nem a nyolcvanas években élünk. 🎮

A folyamatosan publikussá váló 0day Exchange sebezhetőségek láttán kiötöljük, hogy a desktopokhoz hasonlóan, a telefonokról is csak VPN kapcsolaton keresztül lehessen elérni az OWA/ActiveSync szolgáltatást, de már az első tesztelők hisztirohamot kapnak, annyira meríti a telefonokat az állandó VPN használat, a tunnelt ki-be kapcsolgatani pedig kényelmetlen.

Mentő ötletként indítunk egy másik pilotot, amiben csak kliens tanúsítvány alapú azonosítás mellett lehet elérni az ActiveSync felületet, de ez is kudarcba fullad. Kiderül, hogy a telefonok egy része alkalmatlan kliens tanúsítvány kezelésére, más részük valamilyen rejtélyes módon nem mutatja fel tanúsítványt a kapcsolódás során, miközben a kliensen látszólag minden be van állítva. A hibakeresés során feltárul, hogy ezen utóbbi viselkedés kifejezetten a Microsoft Outlook applikációt futtató telefonokra igaz.

Közben telik az idő és mivel rendszeresen feldolgozzuk a tűzfalunk naplóbejegyzéseit, érdekes mintázat kezd kirajzolódni, amit egy gyors - még nem AI-s - keresés meg is erősít: a Microsoft által kiadott Outlook applikációt használók egy ideje az on-premise Exchange szerver OWA/ActiveSync felületére minden esetben a Microsoft felhős infrastruktúrájához tartozó IP címek egyikével csatlakoznak. Ezt a Microsoft el is ismeri, s félreértés ne is essék, ez nem hiba; a gyártó egy proxy réteggel beleáll a kliens és a levelezőszerver közötti kapcsolatba és a funkció nem kikapcsolható. Ez már rögtön megmagyarázza, hogy mi történt a pilot során, miért is nem láttuk egyes esetekben a kliens oldali tanúsítványt szerver oldalon megjelenni.

Ha elfogadjuk, hogy minden ActiveSync elérést megjáratunk a Microsoft felhős proxy rétegén keresztül, továbbá elfogadjuk ennek már taglalt következményeit, akkor az ActiveSync sebezhetőségeket kereső, rosszindulatú támadó forgalmak jelentős részét egy egyszerű megoldással távol tudjuk tartani. Ehhez mindössze kötelezővé kell tennünk a céges mobil levelezésben a Microsoft Outlook applikáció használatát, majd meg kell tiltanunk minden kapcsolódást, amely nem az MS O365 felhős szerverek felől érkezik az on-premise ActiveSync szolgáltatásunkra. A beállításhoz szükséges O365 IP címek ezen az URL-en elérhetőek.

A fenti megoldás az Exchange hibákat kereső robotok elől elzárja a sérülékeny ActiveSync szolgáltatásunkat, mindenféle mobil készülékkel működik, nem fogyasztanak többet a telefonok, továbbá kapunk egy távoli eszköz törlési képességet is a mobil elvesztése esetére és ehhez nincs szükség egy csillagromboló jellegű MDM megoldás telepítésére, üzemeltetésére.

A vezetők telefonja ciripel, amikor levél érkezik, mindenki boldog. Win-Win. 😃