Modern Hybrid Agent Absicherung

Modern Hybrid richtet einen App Proxy ein. Ist das eine Hintertür zum OnPremise Exchange? Nicht nur theoretisch könnten Sie mit dem Wissen ganz ohne Exchange Hybrid und ohne AzureAD P1-Lizenzen in ihrem Tenant einen Exchange Modern Hybrid Agent installieren, der ich mit ihrem Tenant verbindet und dann entsprechende Hybrid Applications anlegen, die einen öffentlichen Namen unter der URL "<guid>.resource.mailboxmigration.his.msappproxy.net" annimmt und an eine interne URL weiter sendet.

DNS und PING

Der legitim installierte Modern Hybrid Agent ist unter URL "<guid>.resource.mailboxmigration.his.msappproxy.net" auch aus dem Internet erreichbar und nicht nur theoretisch ist ihr interner Server so ohne Pre-Authentication erreichbar. Ich kann ihn per PING auflösen und erreichen.

ping eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net

Da stellt sich schon die Frage, welche HTTPS-Requests auch auf meinem lokalen Server ankommen. Es wird Zeit für ein "Tail" auf die IISLogs und ein paar HTTPS-Aufrufe

OWA als Hintertür

Naheliegend und von jedem Anwender ausführbar wäre der Zugriff auf die URL für OWA. Das wird aber gleich mit einem 403 blockiert:

 

 

Es kommt auch gar keine Anmeldeseite o.ä. Der Trace im Chromium Debugger zeigt auch, dass Microsoft keinen "Authenticate Header" liefert

Einfach nur ein 403 ohne weiteren Hinweis.

Invoke-WebRequest

Das kann natürlich allein an der  URL gelegen haben. Daher habe ich weitere URLs versucht:

Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net
Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/mrsproxy.svc
Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/exchange.asmx
Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/favicon.ico
Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/status.htm

Auch auch diese wurden alle mit einem 403 quittiert 

Da Microsoft keinen Hinweis auf eine mögliche Authentifizierung liefert, kann ich hier keine Anmeldedaten vereinfacht mitgeben.

Pre Authentication

Das würde mich aber nicht hindern, selbst einfach einen Authentication-Header auf Verdacht mitzusenden. Siehe auch HTTP Authentication. Ich habe mir daher erst einmal noch meine Ergebnisse von Modern Agent mit MGGraph zur Applikation angeschaut:

Demnach sollte der AppProxy keine "PreAuth" machen und die Authentifizierung einfach durchreichen.

Bei einer vergleichbaren Konfiguration einer über den Azure AD Application Proxy mittels "PassThru" veröffentlichten Anmeldung konnte ich sehen, dass jede Request direkt auf dem internen Webserver gelandet ist. Hier trifft dies aber nicht zu.

Die Migration durch Exchange online nutzt aber NTLM zur Anmeldung und da der AppProxy die TLS-Verbindung aufbricht, müssen Sie Exchange Extended Protection abschalten.

Einschätzung

Ohne weitere Informationen, wie Microsoft den Zugriff auf die externe URLs der Hybrid Agenten im Detail abgesichert hat, ist eine Analyse natürlich nur oberflächlich möglich. Microsoft hätte natürlich den Zugriff auf die IP-Adressen auf die internen Exchange Online Server beschränken können und auch die Domain DNS-Domain ".resource.mailboxmigration.his.msappproxy.net" müsste nicht aus dem Internet auflösbar sein. Auf der anderen Seite ist natürlich "Security by Obscurity" kein guter Ratgeber und eine  Plattform muss an sich schon "sicher by Default" sein.

Mir ist es aber nicht gelungen, überhaupt einen HTTPS-Request durch den AppProxy bis auf meinen lokalen Exchange Server durchzuschleifen. Microsoft muss also eine Vorkehrung getroffen haben, dass nur die Exchange Online Services über diesen veröffentlichten Endpunkt eine Verbindung zu ihrem lokalen Server aufbauen können.

Weitere Links