Les notifications Push des services Web Exchange peuvent être utilisées pour obtenir un accès non autorisé

S’applique à
Exchange Server 2010 Exchange Server 2013 Exchange Server 2016 Exchange Server 2019

Scénario

Prenons le scénario suivant :

  • Vous exécutez Exchange Server.
  • Vous avez activé les services web Exchange (EWS).
  • Les notifications Push sont activées et utilisées dans votre environnement.

Cause

Lorsqu’un client s’abonne aux notifications Push à partir de Exchange Server, les notifications envoyées au client incluent des informations NTLM qui peuvent être utilisées pour s’authentifier en tant que serveur exécutant Exchange Server. Ces informations ont été précédemment incluses pour autoriser une réponse authentifiée aux clients abonnés. Seules les notifications Push sont affectées. Les notifications d’extraction et de diffusion en continu ne sont pas affectées.

Solution de contournement

Pour contourner ce scénario et empêcher l’utilisation incorrecte des informations, définissez une stratégie de limitation qui empêche l’envoi de notifications EWS aux clients abonnés. Bien que seules les notifications Push soient soumises à ce comportement, une stratégie de limitation affecte également les notifications Push, Pull et Streaming.

Note Cette solution de contournement empêche certains clients de fonctionner correctement. Cela inclut les Outlook pour Mac, les Skype Entreprise, les clients de messagerie iOS natifs et d’autres clients tiers. Il peut également inclure des applications métier personnalisées.

Résolution

Microsoft a modifié le contrat de notifications établi entre les clients EWS et les serveurs qui exécutent Exchange Server de ne pas autoriser le streaming des notifications authentifiées par le serveur. Au lieu de cela, ces notifications sont diffusées en continu à l’aide de mécanismes d’authentification anonymes. Étant donné qu’un client doit s’authentifier pour établir l’abonnement, cette approche est considérée comme une conception appropriée et nécessaire pour protéger les informations d’identification et l’identité du serveur. Après cette modification, les clients qui s’appuient sur une notification Push EWS authentifiée provenant du serveur qui exécute Exchange Server ont besoin d’une mise à jour du client pour continuer à fonctionner correctement.

Ce changement de comportement prend effet dans les versions Exchange suivantes :