Vyměňte si Exchange
Bitdefender: “Důvodem bezpečnostních problémů je architektura Exchange”
Zákazníci Microsoft Exchange jsou i v roce 2023 pod obrovským tlakem. Po mnoha úspěšných útocích na poštovní servery a servery pro spolupráci v posledních letech média kritizují Exchange jako “neopravitelný” - chyba je již v architektuře. Samotný výrobce se zdá být zahlcen - je čas přejít na bezpečnou open source alternativu grommunio.
Posledních několik let bylo plných děsivých příběhů o závažných zranitelnostech s názvy jako ProxyLogon, ProxyShell, ProxyNotShell nebo PR-GAU kolem neúspěšné ProxyNotShell-”nouzová oprava” OWASSRF společnosti Microsoft. Všechny tyto zranitelnosti mají několik společných rysů: Zaprvé samozřejmě kombinují potenciál pro úplnou ztrátu všech dat nebo pro vniknutí s ransomwarem. Na druhé straně všechny tyto mezery využívají systematickou zranitelnost v architektuře systému Exchange.
Složitost a dědictví: “Exchange je ideálním cílem”
Rumunský výrobce antivirového softwaru Bitdefender píše, že chyba spočívá v systému. Systém Exchange je pro útočníky ideálním cílem z různých důvodů - například proto, že je nucen být kompatibilní se zastaralou a nezabezpečenou technologií (“zpětná kompatibilita”).
Útočníkům však otevírá dveře také “složitá architektura front-end a back-end služeb” s obrovským množstvím zastaralého kódu. Podle společnosti Bitdefender, pokud backendové služby běží s právy samotného serveru Exchange, jsou zranitelné prostřednictvím frontendů - což všechny zmíněné zranitelnosti “PROXY” uměly využít.
Složitá architektura se starším připojením
V těchto vektorech útoku hackeři využívají zranitelnosti ve frontendech takříkajíc jako proxy, aby mohli přistupovat k backendovým serverům s platným ověřením frontendových služeb. Ty umožňují přístup (díky platným certifikátům Kerberos) k dalším službám, jako je například Powershell s právy správce - a tím i komplexní přístup do podnikové sítě.
Bitdefender varuje: U architektury provozované společností Microsoft není v dohledu žádné zlepšení, ani související pojmenované varianty útoků nejsou zcela pojmenovány nebo dokonce známy. Mnohem horší je, že tento scénář je jen jedním z mnoha, které dřímají v zastaralých systémech založených na starším kódu a aplikacích.
Obrázek 1: Společnost Bitdefender podrobně vysvětluje problém serveru Exchange.
V nedávném varování výrobce Microsoft uvádí, že útočníci se stále častěji zaměřují na neopravené systémy, kterých je stále příliš mnoho. Uživatelé často nemohou aplikovat všechny záplaty, protože softwarové prostředí to ne vždy snadno umožňuje. Podle portálu o IT bezpečnosti Hackernews sám Microsoft označuje vlastní návod na nápravná opatření (mitigace) pouze za “dočasný”: k zajištění bezpečnosti serverů pomůže pouze instalace doporučených záplat. Posílí se tím důvěra, kterou zákazník ztratil?
Náprava: Vyměňte svůj Exchange
grommunio má také složitou architekturu, ale na jedné straně je transparentní, implementovaná v bezpečných a osvědčených současných open source technologiích, vyvinutá moderními metodami, testovaná a ověřená. grommunio je založena na bezpečných protokolech, které se tak používají i na milionech serverů v nejkritičtějších bezpečnostních oblastech.
Obrázek 2: Architektura grommunio se opírá o otevřený zdrojový kód a otevřené standardy.
Četná rozhraní API zásobníku Exchange používaná systémem grommunio jsou specifikována jako otevřené standardy, kompletně reimplementována vývojovým týmem grommunio a neustále aktualizována.
Přitom se grommunio osvědčilo i při použití ve velkých prostředích, například v rámci “OpenSource Collaboration” v Open Telekom Cloudu.
Udělejte si představu sami - nahlédnutím do zdrojového kódu nebo vyzkoušením grommunio.
