philipp711
Goto Top

Outlook Anywhere und Active Sync Zertifikatsprüfung

Hallo Leute,

ich habe eine Frage zu ActiveSync in iOS bzw. Android und (als weiteres Beispiel für den normalen Clientbereich mit) Outlook Anywhere.

Ein Unternehmen betreibt eine eigene CA im internen Netz. Diese CA ist auch nur aus dem internen Netz erreichbar.
Alle HTTPS-Dienste habe Zertifikate von dieser CA erhalten. Auch Dienste die aus dem Internet erreichbar sind bieten nur Zertifikate der internen CA an - hier z.B. der Exchange.

Über die AD wird das CA-Stammzertifikat auf die Clientrechner übertragen, sodass keine Fehlermeldung beim Aufruf von z.B. OWA über HTTPS erscheint. Weil ein MDM fehlt erhalten die Android/iOS-Geräte das CA-Stammzertifikat NICHT. Bei der Einrichtung von ActiveSync auf den Smartphones wurde die Fehlermeldung zu den "falschen" Zertifikaten einfach akzeptiert...

so weit so gut. In den letzten Jahren sind ja einige öffentlichen CA's gehackt worden.

Sagen wir, ein Außendienstmitarbeiter dieser Firma wird Opfer einer MitM-Attacke in einem öffentlichen WLAN. Der Angreifer hat ein CA-Zertifikat einer gehackten CA in seinem besitzt und nutz dieses um die Verbindungen zu manipulieren indem er einfach die Zertifikate in Echtzeit mit dem geklauten CA-Cert signiert - so mancher Proxy bietet solche Möglichkeiten ja auch an. Der Rechner hat keine aktualisierte CA-Liste und vertraut der CA leider immer noch.

Meine Frage ist nun: Merkt Outlook bzw. Android/iOS dass sich das Zertifikat geändert hat und meldet diesen Sachverhalt oder wird einfach eine Verbindung aufgebaut weil ja grundsätzlich alles in Ordnung ist - zumindest für das OS?

Content-Key: 276303

Url: https://administrator.de/contentid/276303

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: emeriks
Lösung emeriks 02.07.2015 aktualisiert um 19:48:03 Uhr
Goto Top
Hi,
ich will jetzt keinen Blödsinn erzählen, aber soweit ich das überblicke verhält sich das etwa so:
Wenn jemand Euer CA-Zertifkat klauen würde, incl. privatem Key, dann könnte er damit eine eigene CA aufsetzen und mit dieser eigene Zertifikate ausstellen, die wie Eure aussehen. Mit diesen könnte er dann Verbindungen zu Euren Servern aufnehmen und diese würden das Zertifikat akzeptieren, weil sie das CA-Zertifikat, auf welches im Pfad des Clientzertifikats verwiesen wird, selbst kennen und als vertrauenswürdig ansehen. Damit ist auch jedes Zertifikat, welches sie zwar noch nicht kennen, welches aber angeblich von der internen CA erstellt wurde, für sie vertrauenswürdig. Wenn das so stimmen sollte, dann müsste ein Angreifer doch gar nicht erst MitM spielen, um an die Server ranzukommen? Es sein denn er ist darauf aus, die Daten einer anderen Verbindung mitzulesen.

Damit jemand gar nicht erst an die CA rankommt, hat MS ja auch die CA Services und die Enrollment Service so konzipiert, dass man sie auf separaten Servern betreiben kann, wobei dann die CA im internen Netz und der Enrollment Server in der DMZ stehen. Siehe mal hier, vielleicht hilfts.

E.
Mitglied: Philipp711
Philipp711 03.07.2015 aktualisiert um 09:05:31 Uhr
Goto Top
In meinem Szenario bin ich jetzt nicht vom klau des internen CA-Stammzertifikats ausgegangen. Mir ging es prinzipiell um MitM. Ich habe irgendwo einmal gelesen, dass z.B. iOS mehr als 200 CA's vertraut. Darunter sind auch staatlich kontrollierte Stellen.

Der Außendienstler befindet sich in Deutschland. Es gab irgendwann mal eine initiative von Kabel Deutschland, in großen Städten für KD-Kunden freies WLAN zu ermöglichen. Der Böse Angreifer fälscht die öffentliche KD-WLAN-SSID und bringt den Rechner des AD dazu, sich mit seinem falschen WLAN-AP zu verbinden -> weil es in aller Munde ist: der Böse Angreifer ist ein Mitarbeiter der NSA...dieser hat Zugriff auf die private-Keys einiger CA's die von iOS als zuverlässig eingestuft werden.

Jetzt geht's weiter wie im ersten Post..der Angreifer wird MitM und tauscht in Echtzeit die Zertifikate und signiert alle mit dem PK einer CA die von iOS vertraut wird. Bei HTTPS-Verbindungen über den Browser merkt das zunächst keiner....wie sieht das bei ActiveSync bzw. Outlook Anywhere aus?


Ich springe zwar jetzt auf den allgemeinen "Paranoia-Zug" auf aber grundsätzlich geht es mir um die technischen Möglichkeiten.
Mitglied: Terminatorthree
Terminatorthree 03.07.2015 aktualisiert um 10:07:33 Uhr
Goto Top
Hi,

die Funktionalität, die du suchst, nennt sich Certificate Pinning. Dabei wird der Fingerprint des Zertifikats gespeichert und es erfolgt eine Warnung, wenn er sich ändert, auch wenn das neue Zertifikat gültig ist. Wie man das in Android implementiert findest du hier: https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning#Andro ...

Ob das aber für die integrierte Mail-App der Fall ist, kann ich dir leider nicht beantworten aber möglicherweise kannst du so weiter googlen.

In die selbe Richtung geht übrigens auch HSTS, was das ganze für Webseiten umsetzen kann.

Grüße
Terminatorthree