Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 65 replies
  • Subscribers 0 subscribers
  • Views 49506 views
  • Users 0 members are here
Options
Suggested

[9.191][BUG] OWA login via WAF fails with "Unknown username and or password"

Nikolai Wolf
ActiveSync is working, because I can connect to a Exchange mailbox, but whenever I want to connect through the webappplication (Owa), It fails. 

Example:
I try connect to Peter@example.com with ActiveSync, it works.
I try to connect to Peter@example.com with owa (Owa appears after I entered the credentials for the form authentication), it fails.

It used to work, but suddenly it stopped working.
  • 0
    Any more details about what else happened before "suddenly it stopped working"? Was there any UTM upgrade involved? Which UTM versions before and after the upgrade?
  • 0
    There were several upgrades since it stopped working, but the issue occurred recently, so I think it was version 9.185003 or 9.186001. Now im at version 9.191002, but I think it has something to do with the reverse proxy, since it worked fine without the waf in the beginning.

    Here are some errors I get:

    2014:01:06-09:59:20 UTM reverseproxy: [Mon Jan 06 09:59:20.252489 2014] [security2:error] [pid 6577:tid 3988761456] [client 192.168.150.71] ModSecurity: Warning. Operator LT matched 5 at TX:inbound_anomaly_score. [file "/usr/apache/conf/waf/modsecurity_crs_correlation.conf"] [line "33"] [id "981203"] [msg "Inbound Anomaly Score (Total Inbound Score: 2, SQLi=, XSS=): Request Missing an Accept Header"] [hostname "webmail.example.com"] [uri "/owa/14.1.218.13/themes/resources/lgnleft.gif"] [unique_id "UspwaMCosg8AABmxlP4AAABR"]

    2013:12:30-11:50:30 UTM reverseproxy: [Mon Dec 30 11:50:30.847544 2013] [form_hardening:error] [pid 7616:tid 4080360304] [client 192.168.150.71:***] Form validation failed: Token missing, referer: webmail.example.com/.../&reason=2 

    2013:12:30-11:48:20 UTM reverseproxy: [Mon Dec 30 11:48:20.031035 2013] [security2:error] [pid 7616:tid 3929291632] [client 192.168.150.71] ModSecurity: Warning. Pattern match "(.*)" at TX:960015-OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER-REQUEST_HEADERS. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 7, SQLi=, XSS=): Last Matched Message: Request Missing an Accept Header"] [data "Last Matched Data: 0"] [hostname "webmail.chroom.com"] [uri "/Microsoft-Server-ActiveSync"] [unique_id "UsFPdMCosg8AAB3AGxMAAACY"]
  • 0
    I've also seen this issue at my beta utm at home. I've fresh installed the iso from the web and imported the backup. Unfortunately I've never checked the OWA site only active sync. this worked perfect. Today from my office I wanted to logon to OWA and got the same. Strange in firefox it worked for a short time.

    There is also an issue with the certificate which is no longer visible in the ca management. also when I'm importing it again it not shows up to choose in the waf area
  • 0
    It doesn't work at all in Firefox. But is this a bug or just an configuration error? I've been struggling with this for a few weeks now, because it really bothers me and no solution or any clarification is given.
  • 0 in reply to Nikolai Wolf
    Hi Nikolai,

    We are checking on your issue. Are you using OTP for WAF?

    Thanks,
    Bianca
  • 0
    Hi Bianca,


    No, I'm not using OTP for the WAF, but when I want to enable it, I receive the following message: 
    'The TCP port '443' is already in use by the port attribute of the virtual webserver object 'Virtual mailserver'. Which means, that I will be forced to send the credentials in plain text (port 80) I mean, isnt it possible to use https when using OTP?
  • 0 in reply to Nikolai Wolf
    Hi Nikolai,


    'The TCP port '443' is already in use by the port attribute of the virtual webserver object 'Virtual mailserver'. Which means, that I will be forced to send the credentials in plain text (port 80) I mean, isnt it possible to use https when using OTP?


    Https on port 443 with OTP is working. The message warns you that you are using the same port with another facility ( mailserver).

    Going back to your initial issue we tested URL Hardening with OWA :
     
    -URL Hardening works only for a few links (login works)
    -Form hardening does not work at all with OWA 2007/2010/2013 (probably an interoperability issue)

    In order to understand better the security errors from the log, please provide more lines from reverseproxy.log (from the same time frame).

    Thanks and best regards,
    Bianca
  • 0
    Just a side note: URL Hardening works best if Form Hardening is enabled too.
  • 0 in reply to Tinkerbell
    Hi Nikolai,



    Https on port 443 with OTP is working. The message warns you that you are using the same port with another facility ( mailserver).

    Going back to your initial issue we tested URL Hardening with OWA :
     
    -URL Hardening works only for a few links (login works)
    -Form hardening does not work at all with OWA 2007/2010/2013 (probably an interoperability issue)

    In order to understand better the security errors from the log, please provide more lines from reverseproxy.log (from the same time frame).

    Thanks and best regards,
    Bianca


    You see, I cant enable it. I try to activate the One-time password service, but the service will not start due to the information window popping up. I dont use the URL hardening nor Form hardening.




    The log (after I tried to login with owa)
    Error.zip
  • 0 in reply to Nikolai Wolf
    You see, I cant enable it. I try to activate the One-time password service, but the service will not start due to the information window popping up. I dont use the URL hardening nor Form hardening.


    Hi Nikolai,
    As I told you the port is in use. Try using HTTPS with another port for example.
    Seemed that Form Hardening was in use because it appeared in the logs.

    Thanks for the logs. Will check them.
    Best,
    Bianca
Unfiltered HTML