"Unerlaubter" externer Zugriff auf internes Server-Dateisytem

[zikan1982 2]

Wir haben da eine Sicherheitslücke in unserem System festgestellt, welches wir uns absolut nicht erklären können. Laut meines Kollegen ist die Firewall so konfiguriert, dass alle Ports dicht sind, die einen Zugriff auf das Dateisystem in unserem Hause von extern ermöglichen würden.

Nun stellte sich heraus, dass eine externe Mitarbeiterin einen lokalen Serverpfad (\\servername\ordner1\ordner2) in einer Mail auf ihrem Android-Tablet erhielt und da auch drauf klickte und prompt in dem benannten Dateisystem navigieren konnte.  (Im Rahmen ihrer Sicherheitsfreigaben auf den Ordnern gemäß ihres Domänenaccounts. Gesperrte Ordner sind für sie auch über diesen Weg gesperrt.) Aber wir wollen das überhaupt nicht, dass jemand von außen auf Daten kommt.

Als sie mir davon erzählte, konnte ich das gar nicht glauben, dass sie wirklich Zugriff erhält und dachte sie hätte da was mit unserem externen Cloudspeicher verwechselt.

 

Mal zur technischen Spezifikation:

Windows 2008R2 mit besagten Dateien. Ordnerfreigaben für gewisse Nutzer und Gruppen, die domänenseitig verwaltet werden.

Exchange 2010 der die Mails versendet.

 

Tablet mit Android 4.4.2. Das einzige domänenverbindende Element ist das Microsoft Exchange Active Sync Konto auf dem Tablet.

 

Das eigenartige ist, in höheren Androidversionen tritt das Problem nicht auf, sprich der Link wird nicht geöffnet. Es ist uns allerdings insgesamt ein Rätsel, wie hier überhaupt eine solche Weiterleitung in unser lokales System passieren kann (lokaler Pfad) und wo die Authentifizierung stattfindet.

 

Als Mailprogramm haben wir dieses Standard-E-Mail benutzt. Klicke ich hier einen lokalen Pfad an, erscheint ein Fenster "Offener Speicherort". Untertitel "Adresse der Windows Sharepoint Services- oder Windows-Dateifreigabe". Darunter wiederum ist erneut der lokale Pfad angegeben, den ich nun modifizieren könnte. Klicke ich ok, lande ich in besagtem Ordner.

 

Ich bin nicht der Servertechniker und mein Kollege ist überfragt. Wie gesagt, rechtetechnisch darf die Dame ja theoretisch auf die Dateien zugreifen, aber wir wollen keinerlei externen Zugriff, da dies schon ein Schritt weiter ist, als überhaupt jemand kommen sollte.

[NorbertFe 2.034]

Gabs mal die Möglichkeit im exchange (owa) auf dort konfigurierte filsesysteme zuzugreifen. 

[zikan1982 2]

Danke, das mit der OWA war ein guter Tipp. 

 

Open Exchange Management Console -> drill down to server configuration -> Client Access -> Exchange ActiveSync (middle tab) -> right click on the name (default website in my case) properties -> Remote file servers tab. From here, you can allow or deny access.

 

[NorbertFe 2.034]

Hast du in die anderen Listen denn auch mal geschaut? Wußte gar nicht, dass die Funktion noch "vorhanden" ist. Kenn das eigentlich nur von 2007.

bearbeitet 16. Januar 2019 von NorbertFe

[zikan1982 2]

Wir haben weder Block- noch Zulassungslisten definiert. Sollte aber ja eigentlich durch die Dropbox mit "Blockieren" dann auch geregelt sein, so wie ich das verstehe.

[NorbertFe 2.034]

Ja. Korrekt. Gibt übrigens auch nen ziemlich ausführlichen Link, der das Problem aus sicherheitstechnischer Sicht beschreibt.

Kann ich bei Bedarf gern hier posten.

[zikan1982 2]

Wird gern angenommen. Man kann nie zu viel wissen ;)

[v-rtc 88]

@NorbertFe würde mich auch interessieren.

@zikan1982 habt Ihr auch mal mit einem iPhone getestet?

 

[NorbertFe 2.034]

Am 22.1.2019 um 16:36 schrieb zikan1982:

Wird gern angenommen. Man kann nie zu viel wissen ;)

Da ist was dran. Bitteschön:

https://labs.mwrinfosecurity.com/blog/accessing-internal-fileshares-through-exchange-activesync/

 

Bye

Norbert