Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for the ‘Sécurité-2010’ Category

Exchange Server 2010 : la fonctionnalité de répulsion (Tarpitting Functionality)

Posted by David PEKMEZ le janvier 22, 2011


Lorsque vous envoyez des messages électroniques, le serveur de réception vérifie la validité de l’adresse mail du destinataire et peut renvoyer des réponses au serveur envoyant le message de type :

  • 250 2.1.5 Recipient OK

Ce qui veut dire en langage humain que l’utilisateur de destination existe

  • 550 5.1.1 User unknown

Ce qui veut dire en langage humain que l’utilisateur de destination n’existe pas

Cette fonctionnalité peut être utilisée pour obtenir des adresses valides de votre organisation (Attaque appelée : directory harvest attack) puisqu’en testant des adresses email le serveur émettant ses requêtes obtient rapidement l’information de l’existence ou non de l’adresse mail.

Le tout permettant d’obtenir à termes, une base de données d’adresses mail valides, pouvant être vendu et utilisée par des spammeurs..

Pour contrer ce type d’attaques, Exchange Server peut retarder les réponses de certaines connexions considérées comme peu sûres, le but étant de ralentir ces connexions pour contrer l’automatisation de ces attaques (via logiciel par exemple).

Cette fonctionnalité est activée par défaut sur les connecteurs de réception Exchange Server 2010, de base ce paramètre est fixé à 5 secondes.


Il faut noter que seules les connexions authentifiées ne sont pas sujettes à ces délais de répulsion, et que ce paramètre peut être désactivé en interne si besoin sur les connecteurs non connectés à Internet.

Il est parfois nécessaire de désactiver ce délais (sur des connecteurs non reliés à internet directement) en voici un exemple

Une application peut envoyer des messages via des connecteurs spécifiques pour l’envoie de mails automatiques,

Ayant mis en place ce type de connecteurs lors d’un projet pour une application, j’ai rencontré un problème de délais, en testant avec une petite application permettant d’envoyer des mails voici les résultats que j’obtenais :


Plus de 15 secondes pour envoyer un mail, le problème ici c’est que les 15 secondes étaient visibles côté utilisateur puisque l’application figeait pendant 15 secondes.

De plus en vérifiant dans les logs du connecteur, nous avons remarqué que le mail était traité par Exchange en moins d’une seconde mais au bout des 15 secondes, je m’explique :

Test de mail envoyé à 10h58.00, la réponse du serveur 250 2.1.5 Recipient OK intervenait à 10h58.15 et le mail partait aussitôt ensuite.

Comme la configuration par défaut est de 5 secondes sur ce paramètre et que j’observais un délai de 15 secondes, pour moi ce paramètre n’était pas la cause du délai, mais à défaut d’autre piste j’ai quand même testé de mettre ce paramètre à 0 via la commande suivante

Set-ReceiveConnector « NomDuConnecteur » -TarpitInterval 00 :00 :00

Autre exemple ci-dessous


Le résultat est sans appel.


Attention toutefois de ne pas désactiver ce paramètre sur des connecteurs reliés directement sur Internet afin d’éviter de mettre à dispositions des informations de votre annuaire à des logiciels malveillants.

Références :

TechNet Microsoft Français : Fonctionnalité de répulsion

TechNet Microsoft Anglais : Tarpitting Functionality

Bonne lecture !

David

Posted in Exchange Server 2010, Sécurité-2010 | Leave a Comment »

Exchange : Correctif MS10-70 : A appliquer rapidement (Suite & fin).

Posted by Teruin laurent le septembre 29, 2010


Voici les correctifs attendus qui corrigent les problèmes de sécurité du bulletin MS10-70.

.Net 4 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6ce703b7-08a5-4eff-a062-d5dc720908f6

.Net 3.5 sp1 for Server 2008 SP2 / Vista SP2 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=45aa5666-3454-443c-a224-2076215fef04

.Net 3.5 sp1 for Server 2008 R2 / Windows 7 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=5e7dcf51-74f1-43cc-aece-0cd5df05ddb7

.Net 3.5 sp1 for Server 2003 SP2 / Windows XP http://www.microsoft.com/downloads/en/details.aspx?FamilyID=3d31fd37-eb58-4169-b6b9-4cf854524e46

.Net 1.1 for Server 2003 SP2 / Windows XP http://www.microsoft.com/downloads/en/details.aspx?FamilyID=a7990e61-21fd-4942-9dfe-af7961cb0282

Cordialement
Laurent TERUIN

Posted in Sécurité-2007, Sécurité-2010 | Leave a Comment »

Exchange : Correctif MS10-70 : A appliquer rapidement

Posted by Teruin laurent le septembre 28, 2010


J’avais promis de revenir vers vous. Voilà qui est fait. L’alerte de sécurité de Microsoft MS10-70 est relativement sérieuse et affecte la couche asp.net et par conséquent les services Exchange. Le risque est présent et une personne pourrait éventuellement accéder à des fichiers tels que le web.config. Le risque est potentiel sur toutes les versions de ASP.NET. Microsoft recommande donc d’appliquer très rapidement ce correctif sur toutes les plates formes concernées


Plates-formes concernées

Operating System

Component

Maximum Security Impact

Aggregate Severity Rating

Bulletins Replaced by this Update

Windows XP

  

  

  

  

Windows XP Service Pack 3

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Information Disclosure

Important

MS10-041

Windows XP Service Pack 3

Microsoft .NET Framework 2.0 Service Pack 2
(KB2418241)

Microsoft .NET Framework 3.5
(KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows XP Professional x64 Edition Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Information Disclosure

Important

MS10-041

Windows XP Professional x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(KB2418241)

Microsoft .NET Framework 3.5
(KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Server 2003

  

  

  

  

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416451)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2418241)

Microsoft .NET Framework 3.5
(KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Information Disclosure

Important

MS10-041

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(KB2418241)

Microsoft .NET Framework 3.5
(KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Server 2003 with SP2 for Itanium-based Systems

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Information Disclosure

Important

MS10-041

Windows Server 2003 with SP2 for Itanium-based Systems

Microsoft .NET Framework 2.0 Service Pack 2
(KB2418241)

Microsoft .NET Framework 3.5
(KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Vista

  

  

  

  

Windows Vista Service Pack 1

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Vista Service Pack 1

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5
(KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2416474)

Information Disclosure

Important

MS09-036

Windows Vista Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2416470)

Microsoft .NET Framework 3.5
(KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Vista x64 Edition Service Pack 1

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Vista x64 Edition Service Pack 1

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5
(KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2416474)

Information Disclosure

Important

MS09-036

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2416470)

Microsoft .NET Framework 3.5
(KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008

  

  

  

  

Windows Server 2008 for 32-bit Systems

Microsoft .NET Framework 1.1 Service Pack 1**
(KB2416447)

Microsoft .NET Framework 3.5 Service Pack 1**
(KB2416473)

Microsoft .NET Framework 4.0**
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008 for 32-bit Systems

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5**
(KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2**
(KB2416474)

Information Disclosure

Important

MS09-036

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1**
(KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2**
(KB2416470)

Microsoft .NET Framework 3.5**
(KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1**
(KB2416473)

Microsoft .NET Framework 4.0**
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008 for x64-based Systems

Microsoft .NET Framework 1.1 Service Pack 1**
(KB2416447)

Microsoft .NET Framework 3.5 Service Pack 1**
(KB2416473)

Microsoft .NET Framework 4.0**
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008 for x64-based Systems

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5**
(KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2**
(KB2416474)

Information Disclosure

Important

MS09-036

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1**
(KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2**
(KB2416470)

Microsoft .NET Framework 3.5**
(KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1**
(KB2416473)

Microsoft .NET Framework 4.0**
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008 for Itanium-based Systems

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008 for Itanium-based Systems

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5
(KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2416474)

Information Disclosure

Important

MS09-036

Windows Server 2008 for Itanium-based Systems Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2416470)

Microsoft .NET Framework 3.5
(KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2416473)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows 7

  

  

  

  

Windows 7 for 32-bit Systems

Microsoft .NET Framework 3.5.1
(KB2416471)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows 7 for x64-based Systems

Microsoft .NET Framework 3.5.1
(KB2416471)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008 R2

  

  

  

  

Windows Server 2008 R2 for x64-based Systems

Microsoft .NET Framework 3.5.1*
(KB2416471)

Microsoft .NET Framework 4.0*
(KB2416472)

Information Disclosure

Important

None

Windows Server 2008 R2 for Itanium-based Systems

Microsoft .NET Framework 3.5.1
(KB2416471)

Microsoft .NET Framework 4.0
(KB2416472)

Information Disclosure

Important

None


Important : ce dernier va demander un reboot des serveurs Exchange


Plus d’informations en anglais sont disponibles à l’adresse suivante : http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

Cordialement
Laurent Teruin

Posted in 1-EXCHANGE 2010, EXCHANGE 2007, Sécurité-2010 | 1 Comment »

Exchange : Avertissement de sécurité Bulletin 2416728 (Suite)

Posted by Teruin laurent le septembre 28, 2010


Il y a quelques jours, nous annoncions une alerte de sécurité touchant la couche ASP.net et par conséquent, l’ensemble des plates-formes Exchange depuis la version Exchange 2003. Vous trouverez sur le lien suivant un peu plus d’explication (en anglais bien sûr) : http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx.
Microsoft organise à ce propos un séminaire en ligne ce jour à1 PM (GMT-8).
Pour vous inscrire suivez le lien suivant : https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032464130&EventCategory=4&culture=en-US&CountryCode=US
On n’en sera plus ce soir ;-))

Cordialement
Laurent Teruin

Posted in Sécurité-2007, Sécurité-2010 | Leave a Comment »

Exchange : Avertissement de sécurité Bulletin 2416728

Posted by Teruin laurent le septembre 27, 2010


Microsoft vient d’alerter ses clients sur une faille de sécurité lié à la couche ASP.Net. L’éditeur est en train d’investiguer sur les ces problèmes de vulnérabilité. Des informations complémentaires peuvent être obtenues sur le lien suivant (Uk) : http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

Dans l’environnement Exchange, toutes les versions sont concernées depuis la version Exchange 2003. Selon l’éditeur si vous avez choisi une configuration par défaut le risque de divulgation d’information ne porte que sur peu de fichiers mais il est cependant avéré. Microsoft fourni un moyen de détection des attaques par la supervision d’évènement tels que le suivant.

Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 11/11/1111 11:11:11 AM
Event time (UTC): 11/11/1111 11:11:11 AM
Event ID: 1309
Event sequence: 133482
Event occurrence: 44273
Event detail code: 0
Application information:
Application domain: c1db5830-1-129291000036654651
Trust level: Full
Application Virtual Path: /
Application Path: C:\foo\TargetWebApplication\
Machine name: FOO
Process information:
Process ID: 3784
Process name: WebDev.WebServer40.exe
Account name: foo
Exception information:
Exception type: CryptographicException
Exception message: Padding is invalid and cannot be removed

Les équipes Exchange recommandent donc vivement de vérifier l’absence de ce type d’évènement ou si c’est le cas de vérifier le nombre d’occurrences de cet évènement car la présence de ce dernier peut être également causée par une mauvaise configuration (ferme de serveurs web ou moteur de recherche parcourant des liens erronés) . De plus la présence de cet évènement ne permettra pas d’affirmer que l’attaque a réussie. La meilleure protection est donc d’utiliser des pare-feu équipés de détection d’intrusion afin de détecter la provenance de l’attaque.
Microsoft est en train de corriger cette faille. Sa correction sera rendue publique dans la mise à jour du bulletin de sécurité 2416728 (http://www.microsoft.com/technet/security/advisory/2416728.mspx).

Une petite vérification des journaux s’impose donc.
Cordialement
Laurent Teruin

Posted in Sécurité-2010 | Leave a Comment »

Exchange Security update

Posted by David PEKMEZ le avril 14, 2010


Les équipes produit Exchange viennent de sortir ces mises à jour de sécurité pour Exchange 2007 et 2010 !

  • Update Rollup 10 for Exchange Server 2007 Service Pack 1 (KB981407)
  • Update Rollup 4 for Exchange Server 2007 Service Pack 2 (KB981383)
  • Update Rollup 3 for Exchange Server 2010 (KB981401)

Bonnes mises jours J

David Pekmez

Posted in Mise-a-jour-2007, Mise-a-jour-2010, Sécurité-2007, Sécurité-2010 | Leave a Comment »

Comment configurer une Autorité de certification pour accepter un attribut SAN d’une demande de certificat

Posted by David PEKMEZ le août 17, 2008


Par défaut une autorité de certification configurée sur un ordinateur Windows Server 2003 ou 2008 n’émet pas de certificats qui contiennent l’extension SAN. Si les entrées SAN sont incluses dans la demande de certificat, ces entrées sont omises

À partir du certificat émis. Pour vous modifier ce comportement, exécuter les commandes suivantes à une invite de commandes

Sur le serveur qui exécute le service Autorité de certification. Appuyez sur ENTRÉE après chaque ligne.

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

Dans la demande de certificat, dans ATTRIBUTE entrez les différents noms de certificat sous cette forme

san:dns=dns.name[&dns=dns.name]

Exemple:

san:dns=intra.net&dns=mail.intra.net

ou par la cmdlets Exchange New-ExchangeCertificate avec le paramètre -DomainName

Posted in Certificat-2007, Certificat-2010, Publication-2007, Publication-2010, Sécurité-2007, Sécurité-2010 | Tagué: , , | Leave a Comment »

 
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 223 autres abonnés