Vaihda Exchange
Bitdefender: “Exchange-arkkitehtuuri syy tietoturvaongelmiin”
Microsoft Exchange-asiakkaat ovat massiivisen paineen alla vielä vuonna 2023. Viime vuosina sähköposti- ja yhteistyöpalvelimiin kohdistuneiden lukuisten onnistuneiden hyökkäysten jälkeen tiedotusvälineet kritisoivat Exchangea “korjauskelvottomaksi” - vika on jo arkkitehtuurissa. Valmistaja itse vaikuttaa häkeltyneeltä - aika siirtyä turvalliseen avoimen lähdekoodin grommunio-vaihtoehtoon.
Viime vuodet ovat olleet täynnä pelottavia tarinoita vakavista haavoittuvuuksista, joiden nimet ovat ProxyLogon, ProxyShell, ProxyNotShell tai PR-GAU Microsoftin epäonnistuneen ProxyNotShell-”hätäkorjaus” OWASSRF ympärillä. Kaikilla näillä haavoittuvuuksilla on muutama yhteinen piirre: Ensinnäkin niissä yhdistyy tietysti mahdollisuus kaikkien tietojen täydelliseen menettämiseen tai tunkeutumiseen lunnasohjelmien kanssa. Toisaalta kaikki nämä porsaanreiät hyödyntävät järjestelmällistä haavoittuvuutta Exchange-järjestelmän arkkitehtuurissa.
Monimutkaisuus ja perintö: “Exchange on ihanteellinen kohde”
Romanialainen virustorjuntaohjelmistojen valmistaja Bitdefender kirjoittaa, että vika on järjestelmässä. Exchange on hyökkääjille ihanteellinen kohde eri syistä - esimerkiksi siksi, että se on pakko olla yhteensopiva vanhentuneen, turvattoman teknologian kanssa (“taaksepäin yhteensopivuus”).
Mutta myös “monimutkainen etu- ja taustapalveluiden arkkitehtuuri”, jossa on valtava määrä vanhentunutta vanhaa koodia, avaa oven hyökkääjille. Bitdefenderin mukaan, jos backend-palvelut toimivat itse Exchange-palvelimen oikeuksilla, ne ovat haavoittuvia frontendien kautta - mitä kaikki mainitut “PROXY”-haavoittuvuudet osasivat hyödyntää.
Monimutkainen arkkitehtuuri, jossa on perinteinen yhteys
Näissä hyökkäysvektoreissa hakkerit käyttävät frontendien haavoittuvuuksia niin sanotusti välityspalvelimena päästäkseen käsiksi backend-palvelimiin frontend-palveluiden voimassa olevalla todennuksella. Nämä mahdollistavat pääsyn (voimassa olevien Kerberos-varmenteiden ansiosta) lisäpalveluihin, kuten Powershelliin, jolla on järjestelmänvalvojan oikeudet - ja siten kattavan pääsyn yritysverkkoon.
Bitdefender varoittaa: Microsoftin käyttämässä arkkitehtuurissa ei ole näköpiirissä parannusta, eikä siihen liittyviä nimettyjä hyökkäysmuunnoksia ole täysin nimetty tai edes tiedossa. Paljon pahempaa on, että tämä skenaario on vain yksi monista, jotka piilevät vanhentuneissa järjestelmissä, jotka perustuvat vanhaan koodiin ja sovelluksiin.
Valmistaja Microsoft toteaa tuoreessa varoituksessaan, että hyökkääjät kohdistuvat yhä useammin korjaamattomiin järjestelmiin, joita on edelleen aivan liian paljon. Usein käyttäjät eivät voi soveltaa kaikkia korjauksia, koska ohjelmistomaailma ei aina mahdollista sitä helposti. Tietoturvaportaalin Hackernews mukaan Microsoft itse kuvaa omia korjaustoimenpideohjeitaan (mitigations) vain “väliaikaisiksi”: vain suositeltujen korjaustiedostojen asentaminen auttaa varmistamaan palvelinten turvallisuuden. Vahvistaako tämä asiakkaan menettämää luottamusta?
Korjauskeino: Vaihda Exchange
myös grommunio on monimutkainen arkkitehtuuri, mutta toisaalta se on läpinäkyvä, se on toteutettu turvallisilla ja hyväksi todetuilla nykyisillä avoimen lähdekoodin teknologioilla, kehitetty nykyaikaisilla menetelmillä, testattu ja validoitu. grommunio perustuu turvallisiin protokolliin, joita käytetään näin ollen myös miljoonissa palvelimissa kaikkein kriittisimmillä tietoturva-alueilla.
Grommunion käyttämän Exchange-pinon lukuisat API:t on määritelty avoimiksi standardeiksi, jotka grommunion kehitystiimi on toteuttanut kokonaan uudelleen ja joita pidetään jatkuvasti ajan tasalla.
Tässä prosessissa grommunio on osoittautunut hyväksi myös suurissa ympäristöissä, esimerkiksi Open Telekom Cloudin OpenSource Collaboration -palvelussa.
Hanki itsellesi käsitys - katsomalla lähdekoodia tai testaamalla grommunio.
