Skip to content
Blog

Échangez votre échange

· par grommunio
Échangez votre échange

Bitdefender : “L’architecture d’Exchange est à l’origine des problèmes de sécurité

En 2023, les clients de Microsoft Exchange sont toujours soumis à une forte pression. Après de nombreuses attaques réussies sur les serveurs de messagerie et de collaboration au cours des dernières années, les médias critiquent Exchange en disant qu’il n’est “pas réparable” - la faille se trouve déjà dans l’architecture. Le fabricant lui-même semble dépassé - il est temps de passer à l’alternative sécurisée open source grommunio.

Ces dernières années ont été remplies d’histoires effrayantes sur des vulnérabilités graves portant des noms tels que ProxyLogon, ProxyShell, ProxyNotShell ou le PR-GAU autour de l’échec de Microsoft [ProxyNotShell-”emergency fix” OWASSRF] (https://grommunio.com/another-remote-code-execution-in-ms-exchange/). Toutes ces vulnérabilités ont quelques points communs : tout d’abord, bien sûr, elles combinent le potentiel d’une perte complète de toutes les données ou d’intrusions avec ransomware. D’autre part, toutes ces failles exploitent une vulnérabilité systématique dans l’architecture du système Exchange.

Complexité et héritage : “Exchange est la cible idéale”

Le fabricant roumain de logiciels antivirus Bitdefender écrit que l’erreur se trouve dans le système. Exchange est la cible idéale des attaquants pour diverses raisons - par exemple, parce qu’il est contraint d’être compatible avec des technologies dépassées et peu sûres (“compatibilité ascendante”).

Mais l‘“architecture complexe des services frontaux et dorsaux”, avec de grandes quantités de code obsolète, ouvre également la porte aux attaquants. Selon Bitdefender, si les services back-end s’exécutent avec les privilèges du serveur Exchange lui-même, ils sont vulnérables via les services front-end - ce que toutes les vulnérabilités “PROXY” mentionnées savaient exploiter.

Architecture complexe avec connexion ancienne

Dans ces vecteurs d’attaque, les pirates utilisent les vulnérabilités des serveurs frontaux comme proxy, pour ainsi dire, afin d’accéder aux serveurs dorsaux avec l’authentification valide des services frontaux. Ceux-ci permettent d’accéder (grâce à des certificats Kerberos valides) à des services supplémentaires, tels qu’un Powershell avec des droits d’administrateur - et donc un accès complet au réseau de l’entreprise.

[Bitdefender met en garde] (https://businessinsights.bitdefender.com/technical-advisory-proxyhell-exploit-chains-in-the-wild) : Avec l’architecture exploitée par Microsoft, il n’y a pas d’amélioration en vue et les variantes d’attaques nommées associées ne sont pas complètement nommées ni même connues. Pire encore, ce scénario n’est qu’un parmi d’autres qui sommeillent dans les systèmes obsolètes basés sur des codes et des applications hérités du passé.

chaîne d’exploitation de MS Exchange ProxyShell](/img/posts/23-02-10_MS-Exchange-ProxyShell-exploit-chain.png)

Figure 1 : Bitdefender explique en détail le problème du serveur Exchange.

Dans un récent avertissement, le fabricant Microsoft indique que les attaquants ciblent de plus en plus les systèmes non patchés, qui sont encore beaucoup trop nombreux. Souvent, les utilisateurs ne peuvent pas appliquer tous les correctifs parce que le paysage logiciel ne le permet pas toujours facilement. Selon le portail de sécurité informatique [Hackernews] (https://thehackernews.com/2023/01/microsoft-urges-customers-to-secure-on.html), Microsoft qualifie lui-même ses propres instructions d’actions correctives (mitigations) de “temporaires” : seule l’installation des correctifs recommandés permet d’assurer la sécurité des serveurs. Cela renforcera-t-il la confiance perdue par le client ?

Remède : Remplacez votre Exchange

grommunio possède également une [architecture] complexe (https://docs.grommunio.com/admin/architecture.html), mais elle est d’une part transparente, mise en œuvre dans des technologies open source actuelles sûres et éprouvées, développée avec des méthodes modernes, testée et validée. grommunio est basé sur des protocoles sécurisés, qui sont donc également utilisés sur des millions de serveurs dans les domaines de sécurité les plus critiques.

architecture des composants de grommunio](/img/posts/23-02-10_grommunio-component_architecture.png)

Figure 2 : L’architecture de grommunio repose sur des sources et des normes ouvertes.

Les nombreuses API de la pile Exchange utilisées par grommunio sont spécifiées en tant que normes ouvertes, entièrement réimplémentées par l’équipe de développement de grommunio et constamment mises à jour.

Au cours de ce processus, grommunio a également fait ses preuves dans des environnements de grande envergure, par exemple dans le cadre de la “collaboration OpenSource” sur l’Open Telekom Cloud.

Faites-vous une idée par vous-même - [en consultant le code source] (https://github.com/grommunio) ou en testant grommunio.

Retour à {nom}

Articles connexes

Blog

Coding Challenge à Graz : Et le gagnant est..

Lors des Journées Linux de Graz, grommunio a organisé un défi de codage très apprécié qui a attiré de nombreux participants.
Case Study

"Indépendant et plus résistant" : grommunio à la municipalité de Radolfshausen

"Indépendant et plus résistant" : grommunio à la municipalité de Radolfshausen. De plus en plus de municipalités se tournent vers le grommunio.
Blog

Graz Linux Days 2026 : présentations grommunio, ateliers, et un défi de codage !

Journées Linux de Graz 2026 : présentations grommunio, ateliers et défi de codage ! Plus de 2 000 visiteurs se sont rendus en Styrie en 2026.