Modern Hybrid Agent Absicherung
Modern Hybrid richtet einen App Proxy ein. Ist das eine Hintertür zum OnPremise Exchange? Nicht nur theoretisch könnten Sie mit dem Wissen ganz ohne Exchange Hybrid und ohne AzureAD P1-Lizenzen in ihrem Tenant einen Exchange Modern Hybrid Agent installieren, der ich mit ihrem Tenant verbindet und dann entsprechende Hybrid Applications anlegen, die einen öffentlichen Namen unter der URL "<guid>.resource.mailboxmigration.his.msappproxy.net" annimmt und an eine interne URL weiter sendet.
Für Classic Hybrid ist die Seite Exchange Hybrid Absicherung wichtig
DNS und PING
Der legitim installierte Modern Hybrid Agent ist unter URL "<guid>.resource.mailboxmigration.his.msappproxy.net" auch aus dem Internet erreichbar und nicht nur theoretisch ist ihr interner Server so ohne Pre-Authentication erreichbar. Ich kann ihn per PING auflösen und erreichen.
ping eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net
Da stellt sich schon die Frage, welche HTTPS-Requests auch auf meinem lokalen Server ankommen. Es wird Zeit für ein "Tail" auf die IISLogs und ein paar HTTPS-Aufrufe
OWA als Hintertür
Naheliegend und von jedem Anwender ausführbar wäre der Zugriff auf die URL für OWA. Das wird aber gleich mit einem 403 blockiert:
https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/owa
Es kommt auch gar keine Anmeldeseite o.ä. Der Trace im Chromium Debugger zeigt auch, dass Microsoft keinen "Authenticate Header" liefert
Einfach nur ein 403 ohne weiteren Hinweis.
Invoke-WebRequest
Das kann natürlich allein an der URL gelegen haben. Daher habe ich weitere URLs versucht:
Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/mrsproxy.svc Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/exchange.asmx Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/favicon.ico Invoke-WebRequest https://eb92551b-9c63-4472-a8dc-2be7fcf00313.resource.mailboxmigration.his.msappproxy.net/ews/status.htm
Auch auch diese wurden alle mit einem 403 quittiert
Da Microsoft keinen Hinweis auf eine mögliche Authentifizierung liefert, kann ich hier keine Anmeldedaten vereinfacht mitgeben.
Pre Authentication
Das würde mich aber nicht hindern, selbst einfach einen Authentication-Header auf Verdacht mitzusenden. Siehe auch HTTP Authentication. Ich habe mir daher erst einmal noch meine Ergebnisse von Modern Agent mit MGGraph zur Applikation angeschaut:
Demnach sollte der AppProxy keine "PreAuth" machen und die Authentifizierung einfach durchreichen.
Bei einer vergleichbaren Konfiguration einer über den Azure AD Application Proxy mittels "PassThru" veröffentlichten Anmeldung konnte ich sehen, dass jede Request direkt auf dem internen Webserver gelandet ist. Hier trifft dies aber nicht zu.
Die Migration durch Exchange online nutzt aber NTLM zur Anmeldung und da der AppProxy die TLS-Verbindung aufbricht, müssen Sie Exchange Extended Protection abschalten.
- Exchange Extended Protection
- MRS und Extended Protection
- Hybrid Agent, Extended Protection und Port 9821
- NTLM-Anmeldung
Einschätzung
Ohne weitere Informationen, wie Microsoft den Zugriff auf die externe URLs der Hybrid Agenten im Detail abgesichert hat, ist eine Analyse natürlich nur oberflächlich möglich. Microsoft hätte natürlich den Zugriff auf die IP-Adressen auf die internen Exchange Online Server beschränken können und auch die Domain DNS-Domain ".resource.mailboxmigration.his.msappproxy.net" müsste nicht aus dem Internet auflösbar sein. Auf der anderen Seite ist natürlich "Security by Obscurity" kein guter Ratgeber und eine Plattform muss an sich schon "sicher by Default" sein.
Mir ist es aber nicht gelungen, überhaupt einen HTTPS-Request durch den AppProxy bis auf meinen lokalen Exchange Server durchzuschleifen. Microsoft muss also eine Vorkehrung getroffen haben, dass nur die Exchange Online Services über diesen veröffentlichten Endpunkt eine Verbindung zu ihrem lokalen Server aufbauen können.