交换您的交换机

Bitdefender：“Exchange 架构导致安全问题的原因”

2023 年，微软 Exchange 客户仍面临巨大压力。近年来，邮件和协作服务器受到的攻击屡屡得手，媒体批评 Exchange “无法修复”—漏洞已经存在于架构中。制造商本身似乎也不堪重负—是时候改用安全的开源替代品 grommunio 了。

过去几年中，关于严重漏洞的可怕故事层出不穷，这些漏洞的名称包括 ProxyLogon、ProxyShell、ProxyNotShell 或围绕微软失败的 ProxyNotShell-”emergency fix” OWASSRF 的 PR-GAU。所有这些漏洞都有几个共同点：首先，它们都有可能导致所有数据完全丢失，或与勒索软件一起被入侵。另一方面，所有这些漏洞都利用了 Exchange 系统架构中的系统漏洞。

复杂性和遗留问题：“Exchange 是理想的目标”

罗马尼亚杀毒软件制造商 Bitdefender写道，错误在于系统。由于种种原因，Exchange 是攻击者的理想目标—例如，因为它被迫与过时、不安全的技术兼容（“向后兼容”）。

但是，“前端和后端服务的复杂架构 “以及大量过时的遗留代码也为攻击者敞开了大门。根据 Bitdefender 的说法，如果后端服务以 Exchange 服务器本身的权限运行，它们就会通过前端受到攻击，而所有提到的 “PROXY “漏洞都知道如何利用前端。

具有传统连接的复杂架构

在这些攻击矢量中，黑客利用前端的漏洞作为代理，通过前端服务的有效身份验证访问后端服务器。这些漏洞允许访问（通过有效的 Kerberos 证书）其他服务，如具有管理员权限的 Powershell，从而全面访问企业网络。

Bitdefender警告：在微软运营的架构中，既看不到任何改进，也没有完全命名或甚至已知的相关命名攻击变种。更糟糕的是，这种情况只是基于传统代码和应用程序的过时系统中潜伏的众多攻击变种之一。

MS Exchange ProxyShell 漏洞利用链](/img/posts/23-02-10_MS-Exchange-ProxyShell-exploit-chain.png)

图 1：Bitdefender 详细解释了 Exchange 服务器问题。

微软公司在最近的一份警告中指出，攻击者越来越多地将未打补丁的系统作为攻击目标，而未打补丁的系统仍然太多了。通常情况下，用户无法打上每一个补丁，因为软件环境并不总是允许用户轻易打上补丁。据 IT 安全门户网站 Hackernews报道，微软自己也将其补救措施（缓解措施）说明描述为只是 “临时性的”：只有安装推荐的补丁才有助于确保服务器的安全。这是否会加强客户失去的信任？

###补救措施：交换您的 Exchange

grommunio 也有一个复杂的架构，但一方面它是透明的，采用安全和经过验证的当前开源技术，以现代方法开发，经过测试和验证。grommunio 基于安全协议，因此也被用于最关键安全领域的数百万台服务器上。

grommunio组件架构](/img/posts/23-02-10_grommunio-component_architecture.png)

图 2：grommunio 的架构依赖于开放源代码和开放标准。

grommunio 所使用的 Exchange 栈的众多 API 都被指定为开放标准，由 grommunio 开发团队完全重新实现，并不断更新。

在这一过程中，grommunio 在大型环境中的使用也证明了自己，例如在开放电信云的 “开源协作 “中。

您可以通过查看源代码或测试 grommunio 来了解自己的想法。