Scambiate il vostro scambio
Bitdefender: “L’architettura di Exchange causa problemi di sicurezza”
I clienti di Microsoft Exchange sono ancora sotto pressione nel 2023. Dopo i numerosi attacchi riusciti ai server di posta e collaborazione negli ultimi anni, i media criticano Exchange come “non riparabile”: la falla è già nell’architettura. Il produttore stesso sembra sopraffatto: è ora di passare all’alternativa sicura open source grommunio.
Gli ultimi anni sono stati pieni di storie spaventose sulle gravi vulnerabilità con nomi come ProxyLogon, ProxyShell, ProxyNotShell o il PR-GAU intorno al fallimento di Microsoft ProxyNotShell-”emergency fix” OWASSRF. Tutte queste vulnerabilità hanno alcune cose in comune: in primo luogo, ovviamente, combinano il potenziale per una perdita completa di tutti i dati o per intrusioni con ransomware. D’altra parte, tutte queste falle sfruttano una vulnerabilità sistematica nell’architettura del sistema Exchange.
Complessità e legacy: “Exchange è il bersaglio ideale”
Il produttore rumeno di software antivirus Bitdefender scrive che l’errore risiede nel sistema. Exchange è il bersaglio ideale per gli aggressori per vari motivi, ad esempio perché è costretto a essere compatibile con una tecnologia obsoleta e insicura (“compatibilità all’indietro”).
Ma anche la “complessa architettura di servizi front-end e back-end” con grandi quantità di codice legacy obsoleto apre la porta agli aggressori. Secondo Bitdefender, se i servizi di back-end vengono eseguiti con i privilegi di Exchange Server stesso, sono vulnerabili attraverso i front-end, che tutte le vulnerabilità “PROXY” menzionate sapevano sfruttare.
Architettura complessa con connessione legacy
In questi vettori di attacco, gli hacker utilizzano le vulnerabilità nei frontend come proxy, per così dire, per accedere ai server backend con l’autenticazione valida dei servizi frontend. Questi consentono l’accesso (grazie a certificati Kerberos validi) a servizi aggiuntivi, come un Powershell con diritti di amministratore, e quindi l’accesso completo alla rete aziendale.
Bitdefender avverte: Con l’architettura gestita da Microsoft, non c’è alcun miglioramento in vista, né le varianti di attacco associate sono completamente nominate o addirittura conosciute. E, cosa ben più grave, questo scenario è solo uno dei tanti che giacciono dormienti nei sistemi obsoleti basati su codice e applicazioni legacy.
In un recente avviso, il produttore Microsoft afferma che gli aggressori stanno prendendo sempre più di mira i sistemi non patchati, che sono ancora troppi. Spesso gli utenti non possono applicare tutte le patch perché il panorama software non sempre lo consente facilmente. Secondo il portale di sicurezza informatica Hackernews, la stessa Microsoft descrive le proprie istruzioni per le azioni correttive (mitigazioni) come solo “temporanee”: solo l’installazione delle patch consigliate aiuta a garantire la sicurezza dei server. Questo rafforzerà la fiducia persa dal cliente?
Rimedio: Sostituire il vostro Exchange
anche grommunio ha un’architettura complessa (https://docs.grommunio.com/admin/architecture.html), ma da un lato è trasparente, implementata in tecnologie open source sicure e collaudate, sviluppate con metodi moderni, testate e convalidate. grommunio si basa su protocolli sicuri, che sono quindi utilizzati anche su milioni di server nelle aree di sicurezza più critiche.
I numerosi API dello stack Exchange utilizzato da grommunio sono specificati come standard aperti, completamente reimplementati dal team di sviluppo di grommunio e costantemente aggiornati.
Nel corso di questo processo, grommunio ha dato prova di sé anche in ambienti di grandi dimensioni, ad esempio in “OpenSource Collaboration” su Open Telekom Cloud.
Fatevi un’idea da soli, guardando il codice sorgente o provando grommunio.
