Wymień swoją giełdę
Bitdefender: “Architektura Exchange powodem problemów z bezpieczeństwem”
Klienci Microsoft Exchange są nadal pod ogromną presją w 2023 roku. Po licznych udanych atakach na serwery poczty i współpracy w ostatnich latach, media krytykują Exchange jako “nienaprawialny” - wada tkwi już w architekturze. Sam producent wydaje się być przytłoczony - czas przejść na bezpieczną alternatywę open source grommunio.
Ostatnie kilka lat obfitowało w przerażające historie o poważnych lukach w zabezpieczeniach o nazwach takich jak ProxyLogon, ProxyShell, ProxyNotShell lub PR-GAU wokół nieudanego rozwiązania Microsoftu ProxyNotShell-”emergency fix” OWASSRF. Wszystkie te luki mają kilka cech wspólnych: po pierwsze, oczywiście łączą w sobie potencjał całkowitej utraty wszystkich danych lub włamań z wykorzystaniem oprogramowania ransomware. Z drugiej strony, wszystkie te luki wykorzystują systematyczną podatność w architekturze systemu Exchange.
Złożoność i spuścizna: “Exchange jest idealnym celem”
Rumuński producent oprogramowania antywirusowego Bitdefender pisze, że błąd leży w systemie. Exchange jest idealnym celem dla atakujących z różnych powodów - na przykład dlatego, że jest zmuszony do bycia kompatybilnym z przestarzałą, niezabezpieczoną technologią (“kompatybilność wsteczna”).
Ale “złożona architektura usług front-end i back-end” z ogromną ilością przestarzałego kodu również otwiera drzwi atakującym. Według Bitdefender, jeśli usługi zaplecza działają z uprawnieniami samego serwera Exchange, są one podatne na ataki za pośrednictwem frontendów - co wszystkie wspomniane luki “PROXY” potrafiły wykorzystać.
Złożona architektura ze starszymi połączeniami
W tych wektorach ataku hakerzy wykorzystują luki we frontendach jako, że tak powiem, proxy, aby uzyskać dostęp do serwerów zaplecza z prawidłowym uwierzytelnieniem usług frontendowych. Umożliwiają one dostęp (dzięki ważnym certyfikatom Kerberos) do dodatkowych usług, takich jak Powershell z uprawnieniami administratora - a tym samym kompleksowy dostęp do sieci korporacyjnej.
Bitdefender ostrzega: Przy architekturze obsługiwanej przez Microsoft nie widać ani poprawy, ani też związane z nią nazwane warianty ataków nie są do końca nazwane, ani nawet znane. Co gorsza, ten scenariusz jest tylko jednym z wielu, które drzemią w przestarzałych systemach opartych na starszym kodzie i aplikacjach.
łańcuch exploitów MS Exchange ProxyShell](/img/posts/23-02-10_MS-Exchange-ProxyShell-exploit-chain.png)
Rysunek 1: Bitdefender szczegółowo wyjaśnia kwestię serwera Exchange.
W niedawnym ostrzeżeniu producent Microsoft stwierdza, że atakujący coraz częściej atakują niezaktualizowane systemy, których wciąż jest zbyt wiele. Często użytkownicy nie mogą zastosować każdej poprawki, ponieważ środowisko oprogramowania nie zawsze na to pozwala. Według portalu bezpieczeństwa IT Hackernews, sam Microsoft opisuje swoje własne instrukcje dotyczące działań naprawczych (łagodzących) jako “tymczasowe”: tylko instalacja zalecanych łat pomaga zapewnić bezpieczeństwo serwerów. Czy to wzmocni utracone przez klienta zaufanie?
Remedy: Wymień swój Exchange
grommunio również ma złożoną architekturę, ale z jednej strony jest przejrzyste, zaimplementowane w bezpiecznych i sprawdzonych aktualnych technologiach open source, opracowane przy użyciu nowoczesnych metod, przetestowane i zweryfikowane. grommunio opiera się na bezpiecznych protokołach, które są również używane na milionach serwerów w najbardziej krytycznych obszarach bezpieczeństwa.
architektura komponentów grommunio](/img/posts/23-02-10_grommunio-component_architecture.png)
Rysunek 2: Architektura grommunio opiera się na otwartym oprogramowaniu i otwartych standardach.
Liczne interfejsy API stosu Exchange używane przez grommunio są określone jako otwarte standardy, całkowicie ponownie zaimplementowane przez zespół programistów grommunio i stale aktualizowane.
W tym procesie grommunio sprawdziło się również w dużych środowiskach, na przykład w “OpenSource Collaboration” w Open Telekom Cloud.
Przekonaj się sam - patrząc na kod źródłowy lub testując grommunio.
