Microsoft-Server-ActiveSync exploit? - Serversoftware en clouddiensten

dinsdag 29 mei 2018 20:29

Acties:

Topicstarter

In één van mijn Apache HTTP logs kwam ik requests tegen als:

/Microsoft-Server-ActiveSync?Cmd=OPTIONS&User=info@example.com&DeviceType=WindowsOutlook15&DeviceId=MYMAc39081a71be1779c0dfe1074aef7

De requests kwamen van f3.my.com en nu rijst bij mij de vraag: wat is dit? is er een gat in ActiveSync dat wordt geprobeerd te exploiten?

Als iemand meer weet zou ik dat fijn vinden.
Ik kon namelijk geen CVE vinden met deze specifieke OPTIONS request.

Maak je niet druk, dat doet de compressor maar

dinsdag 29 mei 2018 20:36

Acties:

spone

Lijkt me gewoon een ActiveSync client die probeert te verbinden (in dit geval iemand met een Outlook 2016 mail client. Gebruik je zelf iets van deze soort techniek?

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

woensdag 30 mei 2018 21:56

Acties:

DJMaze

Topicstarter

@spone nee, ik gebruik die techniek niet.
Wat ik raar vind is dat het niet een "iemand" is, maar een server die dat probeert f3.my.com

Kan ook geen IMAP login vinden met dat IP

Maak je niet druk, dat doet de compressor maar

donderdag 31 mei 2018 01:13

Acties:

Qwerty-273

Meukposter

***** ***

Als je ook een beetje gokt en kijkt naar het device id. My.com heeft een eigen mail app / dienst met de naam myMail ( http://mymail.my.com/ ) zou het kunnen zijn dat iemand die app daadwerkelijk gebruikt (er vanuit gaande dat info@example.com gefingeerd is?

Als er al een exploit in EAS zou zitten, dan lijkt me dat zeker met deze "opties" geen kans maakt. Dit zijn gewoon standaard opties binnen EAS. Maar ehhh Apache HTTP en EAS?

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.