Exchange強化ガイドラインでOWA Webreadyを無効にすることを推奨していますか？彼らはすべきですか？

Question

Exchange OWAは、サーバーランタイムに存在するリモートコード実行の欠陥により、1年以上で4回目、内部ネットワークを危険にさらしています。このリスクは、事実によってさらに悪化します MicrosoftはDMZでOWAをサポートしません。

この問題は、CASサーバー（Outlook Web App/OWAとも呼ばれます） "Outside in" DLLs に関係しています。これらは、PDFとWordの電子メールの添付ファイルを解析して、HTMLベースのプレビュー用にHTMLドキュメントに変換するファイルです。このエクスプロイトを、疑いを持たない受信者に電子メールを送信するだけでトリガーされるサーバー側のバッファオーバーフローと比較します。

このマイクロソフトのパッチ履歴によると、Webreadyサブコンポーネントは、2年間でこれらのすべてのパッチを使用しても、セキュリティ面であまり適切に機能していません。

MS13-061 （注： 2013年8月14日、更新がリコールされましたバグのため）
MS13-012
MS12-08
MS12-058
MS16-079

これらのファイルはSun/Oracleによって開発されたものであり、アラートはMicrosoftが公開するずっと前に公開されていました。このリストはすべてを網羅しているわけではないため、より大きな責任が伴います。

質問

セキュリティガイダンスの一部としてWebreadyを無効にすることを推奨するExchange Serverの展開ガイダンスはありますか？
セキュリティガイダンス（上記の場合）が最新のアドバイスで更新されたのはいつですか？

ExchangeがDMZまたはフロントエンドバックエンド構成でサポートされなくなったためです。これは、OWAの違反が内部ネットワークに違反する可能性があることを意味します。（localserviceの緩和策は別として）

私が求めている2番目の理由は、Exchangeに関連する最も前向きな考え方、または最もセキュリティを意識した方法論を特定できるようにするためです。そのようなソートリーダーが存在する場合、私は彼らのブログを購読したり、彼らのコンサルティングを購入したりしたいと思います。知りたい他にどのコンポーネントを無効にすべきか

goodguys_activate · Accepted Answer

Microsoftは、DMZ内にある別のサーバーでWord文書がプレビュー（および場合によっては編集）されるOffice Serverに焦点を当ててこれに対処しているようです。

Exchange 2013とLync 2013（Skype for Business）はどちらもOffice Web Serverにいくらか関連がありますが、Exchange 2016の推奨アーキテクチャはこのフォーマットへのより深いコミットメントを期待し、展開の拡張（ロードバランサー上のWebファーム）を提案します。

正当化は明記されなかったが、このサンのエクスプロイトの歴史に関して、製品がこのように進化していることを嬉しく思う。

TheCleaner · Answer

Makerofthings7、

これがあなたにとって決定的な情報源であると言っているわけではありませんが、「馬の口からまっすぐに」見つけることができる最良の情報です。

WebReadyのセキュリティ脆弱性により、最新のソフトウェアエンジニアリングの複雑さが明らかになります

トニーレドモンドによるその記事で、彼はいくつかの興味深いことを述べています。

すべてのCASサーバーで機能を無効にすることをお勧めします。これは、一部のユーザー機能を削除する代わりに問題を修正するアプローチです。このようなアプローチを検討する場合があります。少し極端かもしれませんが、潜在的に攻撃者は、内部で直面しているCASに接続した後、OWAで感染したドキュメント（おそらくメッセージの添付ファイルとして送信された）を表示するようユーザーを促すことにより、今発見された弱点を悪用する可能性があります

さて、それを「Microsoft一時的に推奨する...」という意味と捉えるか、それともトニーはMSのアプローチがそれを無効にすることであると信じているかどうか、それは単に高級品であり、セキュリティがより優れているからです。重要です...あなたはその呼び出しを行う必要があります。彼が少し後で述べたように：

セキュリティに関するすべての場合と同様に、侵入と悪用の潜在的なリスクと、ユーザー機能を削除する修正を適用することによる影響とのバランスをとる必要があります。もちろん、WebReadyは決して使用されないため、誰も気にかけない可能性があり、すべてのサーバーから機能を削除しても、誰もそれを見逃すことはありません。

この記事で私が興味深いと思ったことが1つあります（それがまったく役に立たないことはわかっています）。

Exchange OnlineはMicrosoftのOfficeアプリケーションのオンラインバージョンを使用して一般的なファイル形式を表示するため、Office 365のExchange Onlineのユーザーは問題を心配する必要はありません。

だから、それが何であるかを考えてみてください...ある男のブログ記事（メリットはあるものの）で、この問題について議論しており、おそらくMicrosoftの非公式なスタンスを言い換えています。