交換

ビットディフェンダー「セキュリティ問題の原因はExchangeアーキテクチャ

Microsoft Exchangeの顧客は、2023年になっても大きなプレッシャーにさらされている。近年、メールサーバーやコラボレーションサーバーへの攻撃が何度も成功しているため、メディアはExchangeを「修復不可能」と批判している。メーカー自身も参っているようだ。安全なオープンソースの代替製品grommunioに乗り換える時だ。

ここ数年、ProxyLogon、ProxyShell、ProxyNotShellといった名前の深刻な脆弱性や、Microsoftが失敗したProxyNotShell-”緊急修正 “OWASSRFにまつわるPR-GAUに関する怖い話であふれている。これらの脆弱性には、いくつかの共通点がある。第一に、もちろん、すべてのデータを完全に失う可能性や、ランサムウェアによる侵入の可能性を併せ持っている。一方、これらの抜け穴はすべて、Exchange システム・アーキテクチャの体系的な脆弱性を悪用しています。

複雑さとレガシー：「Exchange は理想的なターゲット」である。

ルーマニアのウイルス対策ソフトメーカーBitdefenderは、誤りはシステムにあると書いている。例えば、Exchange は時代遅れの安全でない技術（「後方互換性」）と互換性を持たざるを得ないからである。

しかし、時代遅れのレガシーコードが大量に存在する「フロントエンドとバックエンド・サービスの複雑なアーキテクチャ」もまた、攻撃者に門戸を開いている。Bitdefenderによると、バックエンド・サービスがExchange Server自体の権限で実行される場合、フロントエンド経由で脆弱性が生じる。

レガシー接続による複雑なアーキテクチャ

これらの攻撃経路では、ハッカーはフロントエンドの脆弱性をいわばプロキシとして利用し、フロントエンドサービスの有効な認証を使ってバックエンドサーバーにアクセスします。これにより、（有効な Kerberos 証明書のおかげで）管理者権限を持つ Powershell などの追加サービスにアクセスできるようになり、企業ネットワークへの包括的なアクセスが可能になります。

Bitdefenderの警告：マイクロソフトによって運用されているアーキテクチャでは、改善の見込みはなく、関連する名前付き攻撃亜種は完全に名前付けされておらず、知られてさえいません。さらに悪いことに、このシナリオは、レガシーコードとアプリケーションに基づく時代遅れのシステムに眠っている多くのシナリオの一つに過ぎない。

マイクロソフト社は最近の警告の中で、攻撃者がパッチの適用されていないシステムを標的にするケースが増えており、その数はまだ非常に多いとしています。多くの場合、ユーザーはすべてのパッチを適用することができません。ITセキュリティのポータルサイトHackernewsによると、マイクロソフト社自身は、改善策（緩和策）に関する独自の指示を「一時的なもの」に過ぎないと説明している。推奨されるパッチをインストールするだけで、サーバーのセキュリティを確保することができる。これで顧客の失った信頼は回復するのだろうか？

救済策Exchangeを交換する

grommunioも複雑なアーキテクチャを持っていますが、一方では透明性があり、安全で実績のある現在のオープンソース技術で実装され、最新の手法で開発され、テストされ、検証されています。grommunioは安全なプロトコルに基づいており、そのため、最も重要なセキュリティ分野で何百万ものサーバーでも使用されています。

grommunioが使用するExchangeスタックの数多くのAPIは、オープンスタンダードとして規定されており、grommunio開発チームによって完全に再実装され、常に最新の状態に保たれている。

その過程で、grommunioは、Open Telekom Cloud上の “OpenSource Collaboration “のような大規模な環境での使用実績も証明しています。

ソースコードを見る](https://github.com/grommunio)か、grommunioを試してみてください。