Actualización de seguridad en Exchange que afecta servicios de Blackberry y GoodLink

Por Daniel Seveso

A principios del 2006, Microsoft liberó una actualización de seguridad para Exchange (2000 y 2003) que cambia el comportamiento del permiso “Send As”. Previo a esta actualización, el permiso “Full Mailbox Access” que permite el acceso irrestricto a un buzón, incluyendo leer, escribir y modificar su contenido, incluía también en forma implícita el permiso de “Send As”. En este contexto, una cuenta con permisos de “Full Mailbox Access” en un usuario mailbox-enabled también tiene la posibilidad de enviar un mensaje como si fuese el usuario original.

Microsoft recibió muchos pedidos de sus clientes de Exchange para que este comportamiento fuese cambiado, con el fin de prevenir la falsificación del remitente y para asegurar que un mensaje enviado por alguien con permisos sobre el buzón (por ejemplo un delegado), sea claramente diferenciado de un mensaje enviado por el propio usuario. Luego de ser evaluado, Microsoft decidió implementar esta actualización en las siguientes versiones del archivo store.exe.

Versión de Store.exe

Correspondiente a

Introducido por

6619.4 o superior

Exchange 2000 SP3

KB915358

7233.51 o superior

Exchange 2003 SP1

KB895949

7650.23 o superior

Exchange 2003 SP2

KB895949

 

Ninguno de estos service packs mencionados incluye la actualización, por lo tanto, si estamos corriendo Exchange 2003 SP1 e instalamos la actualización, la perderíamos al instalar SP2, teniendo que instalar la correspondiente actualización nuevamente sobre SP2.

Aunque esta actualización ya tiene varios meses de liberada y los artículos acerca de cómo prevenir problemas han sido publicados con prontitud tanto por Blackberry como por Microsoft, muchos clientes aún están siendo afectados por este problema simplemente por no estar informados sobre el mismo o no haber implementado las acciones necesarias.

En que afecta esta actualización a Blackberry y GoodLink?

Algunos productos que legítimamente envían mensajes como el usuario interesado y corren en el contexto de una cuenta diferente, dieron por hecho que “Full Mailbox Access” otorgaba también “Send As” no configurando su cuenta con este permiso en los usuarios del servicio. Por lo tanto cuando este permiso es separado del “Full Mailbox Access”, la aplicación ya no tiene los permisos de enviar como el interesado. Blackberry Enterprise Server y GoodLink Wireless Messaging son dos productos que se ven afectados por el update de esta forma.

La solución a este problema fue publicada por Blackberry y Microsoft inmediatamente después del lanzamiento de la actualización en los siguientes artículos:

KB-04707 User cannot send messages because the Send As permission has been revoked

https://www.blackberry.com/knowledgecenterpublic/livelink.exe/?func=doc.Fetch&nodeId=1166052

 

KB912918 Users cannot send e-mail messages from a mobile device or from a shared mailbox in Exchange 2000 Server and in Exchange Server 2003

https://support.microsoft.com/default.aspx?scid=kb;EN-US;912918

Yo no tengo planes de instalar los hotfixes mencionados. ¿Mi servidor puede verse afectado?

Definitivamente. Esta actualización vendrá incluida en el código de Exchange en cualquier versión posterior a la mencionada del store.exe incluyendo nuevos hotfixes y service packs. No es una actualización opcional.

¿Qué debería hacer si soy usuario de alguno de estos productos afectados?

Es común ver a clientes que experimentan en este problema, tratando de solucionar problemas no relacionados que involucran versiones posteriores del store.exe. Mi consejo es no esperar a que su servicio de Blackberry o Goodlink sea afectado. Los usuarios de los productos afectados por este cambio deben tomar las acciones correspondientes descritas en el artículo KB912918 lo antes posible.

Aprovecho para mencionar, que además de las soluciones descritas en el artículo KB912918, el permiso “Send As” puede otorgarse utilizando la herramienta ADModify. ADModify tienen una opción que permite otorgar permisos de “Send As” a todos los usuarios que tienene “Full Mailbox Access”. La ventaja de usar el script provisto en el artículo en lugar de ADModify, es que la lista generada de usuarios que tienen “Full Mailbox Access” y no tienen “Send As” puede ser editada si queremos decidir a qué usuarios les daremos el permiso.

Felices Fiestas!!