heise-plus schrieb am 13.03.2021 00:11:
Was mich noch wundert ist, wie die Angreifer das OWA automatisiert erkennen? Hat das immer ne Standard-URL? Man hätte doch die URL ändern oder einen nicht-default-Port (444) nehmen können. Ansonsten hätte man noch HTTP-Authentifizierung vor das OWA packen können, zumindest für ausländische IPs.
[/quote]
Die werden stumpf zum einen Port 443 abgescannt haben. Und ja, der Pfad zu OWA ist immer gleich. Es gibt zum einen nicht nur den /owa Pfad sondern z.B. auch /oab oder /ActiveSync.
Zum anderen landete die Webshell zwar hinter /owa, der Angriff erfolgte aber über eine der anderen Pfade (bei mir /oab was das Offline Adressbuch für Outllook beherbergt)
Die Seiten sind eigentlich geschützt und nur nach Authentifierzierung zu erreichen - per NTLM oder nach Anmeldung per /owa
Deshalb macht man in der Regel nicht noch einmal eine Basic Auth davor.
Aber das war ja eine der Lücken (es sind 4)
Das ganze gehört auch zum System das du in einem Mailclient einfach deine Email-Adresse und Passwort eintippen kannst und es verbindet sich automatisch. Er sucht sich quasi den Mailserver und fragt dort den Pfad /AutoDiscover ab (nach Anmeldung) und weis dann die Verbindungsdaten.
Outllook ab 2016 funktioniert in Verbindung mit Exchange nur so, da kannst du das gar nicht mehr manuell einrichten.
Früher wurde in der Tat oft ein anderer Port genommen. Aber dann funktioniert es mit Outlook extern nicht mehr und - schlimmer - auf den iPhones kann man seit ein paar Jahren für Exchange keinen anderen Port mehr von Hand einstellen.
Basic Auth nur bei ausländischen IPs klingt gar nicht schlecht. Ich sperre dann im Moment dann einfach ganz. Müsste mal schauen ob damit auch BasicAuth ginge