Las notificaciones push de los servicios Web Exchange pueden usarse para obtener acceso no autorizado

Se aplica a: Exchange Server 2010Exchange Server 2013Exchange Server 2016 Más

Escenario


Imagine la siguiente situación:
  • Ejecuta Exchange Server.
  • Ha habilitado los servicios Web Exchange (EWS).
  • Las notificaciones push están habilitadas y se utilizan en el entorno.

Causa


Cuando un cliente se suscribe a las notificaciones push desde Exchange Server, las notificaciones que se envían al cliente incluyen información NTLM que podría usarse para autenticarse como el servidor que ejecuta Exchange Server. Esta información se ha incluido previamente para permitir una respuesta autenticada a los clientes suscritos. Solo afecta a las notificaciones push. No afecta a las notificaciones pull y streaming.

Solución alternativa


Una solución alternativa para este escenario y para impedir el uso incorrecto de la información, defina una directiva de limitación que impida que las notificaciones EWS se envíen a los clientes suscritos. Aunque solo las notificaciones push están sujetas a este comportamiento, la directiva de limitación afecta a las notificaciones push, pull y streaming por igual.

Nota Esta solución alternativa provoca que algunos clientes no funcionen correctamente. Entre ellos se incluyen Outlook para Mac, Skype Empresarial, clientes de correo nativos de iOS y algunos clientes de terceros. También pueden incluirse aplicaciones LOB.

Solución


Microsoft ha cambiado el contrato de notificaciones que se establece entre clientes y servidores EWS que ejecutan Exchange Server para no permitir que el servidor haga streaming de las notificaciones autenticadas. En su lugar, se hace streaming de estas notificaciones mediante mecanismos de autenticación anónima. Puesto que un cliente tendría que autenticarse para establecer la suscripción, este enfoque se considera un diseño adecuado y necesario para proteger la credenciales y la identidad del servidor. Tras este cambio, los clientes que confíen en una notificación de inserción EWS autenticada desde el servidor, que se está ejecutando en Exchange Server, necesitarán una actualización de cliente para seguir funcionando correctamente.

Este cambio en el comportamiento está vigente en las siguientes versiones de Exchange: