email
Pochi esperti di cybersecurity metterebbero in dubbio che gli attacchi ai server Microsoft Exchange siano inevitabili e il rischio di compromissioni rimane elevato. A ottobre Microsoft ha interrotto il supporto per Exchange Server 2019, rendendo Exchange Server Subscription Edition (Exchange SE) l’unica soluzione locale supportata per il 2026. Nonostante ciò, molte organizzazioni continuano a utilizzare Exchange Server 2016, 2013 e versioni ancora più antiquate.
Per gli autori delle minacce, Exchange è un bersaglio irresistibile. La popolarità, la complessità, l’abbondanza di impostazioni e, soprattutto, l’accessibilità da reti esterne lo rendono suscettibile a un’ampia gamma di attacchi:
- Infiltrazione nelle cassette postali tramite attacchi password spray o spearphishing
- Compromissione dell’account tramite protocolli di autenticazione obsoleti
- Furto di specifiche e-mail tramite iniezione regole per il flusso di posta dannosa tramite i servizi Web Exchange
- Hijacking dei token di autenticazione dei dipendenti o falsificazione dei messaggi sfruttando difetti nell’infrastruttura di elaborazione della posta Exchange
- Sfruttamento delle vulnerabilità di Exchange per eseguire codice arbitrario (distribuzione di shell Web) nel server
- Spostamento laterale e compromissione del server, in cui il server Exchange diventa un punto d’appoggio per la ricognizione della rete, hosting di malware e tunneling del traffico
- Esfiltrazione della posta elettronica a lungo termine tramite impianti specializzati per Exchange
Per comprendere appieno la complessità e la varietà degli attacchi Exchange, è opportuno esaminare la ricerca sulle minacce GhostContainer, Owowa, ProxyNotShell e PowerExchange.
Rendere più difficile per gli utenti malintenzionati la compromissione di Exchange e ridurre l’impatto di un attacco riuscito non è impossibile, ma richiede un’ampia gamma di misure, dalle semplici modifiche alla configurazione alle laboriose migrazioni del protocollo di autenticazione. Un riesame congiunto delle misure di difesa prioritarie è stato recentemente pubblicato dal CISA, il Centro Canadese per la Cybersecurity e da altre autorità di regolamentazione della sicurezza informatica. Quindi, come si avvia l’hardening del server Exchange locale?
Migrazione dalle versioni EOL
Sia Microsoft che CISA consigliano di eseguire la transizione a Exchange SE per ricevere tempestivamente gli aggiornamenti della protezione. Per le organizzazioni che non sono in grado di eseguire immediatamente il passaggio, è disponibile un abbonamento a pagamento ESU (Extended Security Updates) per le versioni 2016 e 2019. Microsoft sottolinea che l’upgrade dal 2016 o dal 2019 a Exchange SE è paragonabile in termini di complessità all’installazione di un aggiornamento cumulativo standard.
Se per un motivo qualsiasi è necessario mantenere in funzione una versione non supportata, questa dovrebbe essere completamente isolata dalle reti interne ed esterne. Tutto il flusso di posta deve essere instradato tramite un gateway di protezione della posta elettronica configurato appositamente.
Aggiornamenti regolari
Microsoft rilascia due aggiornamenti cumulativi (CU) all’anno, insieme agli hotfix per la protezione mensili. Un’attività chiave per gli amministratori di Exchange è stabilire un processo per la distribuzione di questi aggiornamenti senza indugio, poiché gli autori delle minacce sono pronti a sfruttare le vulnerabilità note. È possibile tenere traccia della pianificazione dei rilasci e dei contenuti di questi aggiornamenti nella pagina ufficiale di Microsoft. Per verificare lo stato di integrità e aggiornamento dell’installazione di Exchange, è possibile utilizzare strumenti come SetupAssist e Exchange Health Checker.
Mitigazioni alle emergenze
Per le vulnerabilità critiche sfruttate attivamente, le linee guida temporanee per la mitigazione vengono in genere pubblicate nel blog di Exchange e nella pagina delle mitigazioni di Exchange. Il servizio EM (Emergency Mitigation) deve essere abilitato nei server delle cassette postali Exchange. EM si connette automaticamente al servizio Office Config per scaricare e applicare regole di mitigazione delle minacce urgenti. Queste misure possono disabilitare rapidamente i servizi vulnerabili e bloccare le richieste dannose utilizzando le regole di riscrittura delle URL in IIS.
Dati di base protetti
Un set uniforme di configurazioni ottimizzate per le esigenze dell’organizzazione a livello di organizzazione deve essere applicato non solo ai server Exchange, ma anche ai client di posta su tutte le piattaforme e ai relativi sistemi operativi sottostanti.
Poiché le linee guida di protezione consigliate variano a seconda delle diverse versioni del sistema operativo e di Exchange, la guida CISA fa riferimento ai famosi benchmark CIS e alle istruzioni Microsoft disponibili gratuitamente. L’ultimo benchmark CIS è stato creato per Exchange 2019, ma è pienamente applicabile anche a Exchange SE, poiché l’attuale Subscription Edition non differisce per le opzioni configurabili da Exchange Server 2019 CU15.
Soluzioni di sicurezza specializzate
Un errore critico commesso da molte organizzazioni è non avere agenti EDR ed EPP nei propri server Exchange. Per la prevenzione exploit delle vulnerabilità e l’esecuzione di shell Web, il server deve essere protetto da una soluzione di sicurezza come Kaspersky Endpoint Detection and Response. Exchange Server si integra con l’Antimalware Scan Interface (AMSI), che consente agli strumenti di protezione di elaborare in modo efficace gli eventi lato server.
La lista delle applicazioni consentite può ostacolare in modo significativo gli utenti malintenzionati che tentano di sfruttare le vulnerabilità di Exchange. Questa funzionalità è inclusa nella maggior parte delle soluzioni EPP avanzate. Tuttavia, se è necessario implementarlo con gli strumenti nativi di Windows, è possibile limitare le applicazioni non attendibili tramite Controllo app per le aziende o AppLocker.
Per proteggere i dipendenti e i relativi computer, il server deve utilizzare una soluzione simile a Kaspersky Security for Mail Server per filtrare il traffico di posta. Questo risolve diverse sfide per le quali Exchange on-premises non dispone degli strumenti adeguati, ad esempio l’autenticazione del mittente tramite i protocolli SPF, DKIM e DMARC o la protezione da spam sofisticati e spearphishing.
Se per qualsiasi motivo non viene distribuito un EDR completo nel server, è essenziale almeno attivare l’anti-virus predefinito e assicurarsi che la regola di riduzione della superficie di attacco ASR (Attack Surface Reduction) “Blocca la creazione Webshell per i server” sia abilitata.
Per prevenire il peggioramento delle prestazioni del server durante l’esecuzione dell’anti-virus predefinito, Microsoft consiglia di escludere dalle scansioni file e cartelle specifici.
Limitazione dell’accesso amministrativo
Gli utenti malintenzionati spesso aumentano i privilegi abusando dell’accesso all’interfaccia di amministrazione di Exchange (EAC) e alla gestione remota di PowerShell. La procedura consigliata richiede di rendere questi strumenti accessibili solo da un numero fisso di workstation ad accesso privilegiato (PAW). Questa operazione può essere applicata tramite le regole del firewall nei server Exchange stessi o utilizzando il firewall. Le regole di accesso client predefinite in Exchange possono inoltre offrire un’utilità limitata in questo scenario, ma non possono contrastare gli abusi di PowerShell.
Adozione di Kerberos e SMB anziché NTLM
Microsoft sta gradualmente eliminando le reti legacy e i protocolli di autenticazione. Le moderne installazioni Windows disabilitano SMBv1 e NTLMv1 per impostazione predefinita, con le versioni future previste per disabilitare NTLMv2. A partire da Exchange SE CU1, NTLMv2 verrà sostituito con Kerberos, implementato tramite MAPI su HTTP, come protocollo di Authenticator predefinito.
I team IT e della sicurezza devono condurre un controllo approfondito dell’utilizzo dei protocolli precedenti all’interno della propria infrastruttura e sviluppare un piano per la migrazione a metodi di autenticazione moderni e più sicuri.
Metodi di autenticazione moderni
A partire da Exchange 2019 CU13, i clienti possono sfruttare una combinazione di OAuth 2.0, MFA e ADFS per un’autenticazione del server affidabile, un framework noto come Modern Authenticator o abbreviato Modern Auth. In questo modo un utente può accedere a una cassetta postale solo dopo aver completato l’autenticazione a più fattori tramite ADFS, con il server Exchange che riceverà un token di accesso valido dal server ADFS. Dopo la migrazione di tutti gli utenti a Modern Auth, l’autenticazione di base deve essere disabilitata nel server Exchange.
Abilitazione della protezione estesa
La protezione estesa (EP) fornisce una difesa contro gli attacchi di inoltro NTLM, Adversary-in-the-Middle e tecniche simili. Migliora la sicurezza TLS usando un CBT (Channel Binding Token). Se un utente malintenzionato ruba le credenziali o un token e tenta di utilizzarli in una sessione TLS diversa, il server interrompe la connessione. Per abilitare EP, tutti i server Exchange devono essere configurati per l’utilizzo della stessa versione di TLS.
La protezione estesa è attiva per impostazione predefinita nelle installazioni di nuovi server a partire da Exchange 2019 CU14.
Versioni sicure di TLS
L’intera infrastruttura server, inclusi tutti i server Exchange, deve essere configurata per l’utilizzo della stessa versione TLS: 1.2 o, idealmente, 1.3. Microsoft fornisce indicazioni dettagliate sulla configurazione ottimale e sui controlli dei prerequisiti necessari. È possibile utilizzare lo script Controllo integrità per verificare la correttezza e l’uniformità di queste impostazioni.
HSTS
Per garantire che tutte le connessioni siano protette da TLS, è necessario configurare anche HTTP Strict Transport Security (HSTS). Questo aiuta a prevenire alcuni attacchi AitM. Dopo l’implementazione delle modifiche alla configurazione di Exchange Server come consigliato da Microsoft, tutte le connessioni a Outlook sul Web (OWA) e a EAC saranno forzate a utilizzare il criptaggio.
Scarica domini
La funzionalità Scarica domini fornisce protezione da determinati attacchi di falsificazione di richieste tra siti e furto di cookie spostando gli allegati scaricati in un dominio diverso da quello che ospita l’Outlook sul Web dell’organizzazione. Questo separa il caricamento dell’interfaccia utente e dell’elenco dei messaggi dal download dei file allegati.
Modello di amministrazione basato sui ruoli
Exchange Server implementa un modello RBAC (Role-Based Access Control) per utenti con privilegi e amministratori. Il CISA rileva che spesso per gestire Exchange vengono utilizzati account con privilegi di amministratore di Active Directory. In questa configurazione, una compromissione del server Exchange porta immediatamente a una compromissione dell’intero dominio. Pertanto è fondamentale utilizzare le autorizzazioni divise e l’RBAC per separare la gestione di Exchange da altri privilegi di amministratore. Questo riduce il numero di utenti e amministratori con privilegi eccessivi.
Firma del flusso di PowerShell
Gli amministratori utilizzano frequentemente script di PowerShell noti come cmdlet per modificare le impostazioni e gestire i server Exchange tramite Exchange Management Shell (EMS). L’accesso remoto a PowerShell dovrebbe essere idealmente disabilitato. Quando è abilitato, i flussi di dati dei comandi inviati al server devono essere protetti con certificati. A partire da novembre 2023 questa impostazione è abilitata per impostazione predefinita per Exchange 2013, 2016 e 2019.
Protezione per i server di posta
A novembre 2024 Microsoft ha introdotto la protezione avanzata contro gli attacchi che implicano la falsificazione delle intestazioni di posta P2 FROM, che faceva apparire le e-mail alle vittime come se fossero state inviate da un mittente attendibile. Nuove regole di rilevamento ora contrassegnano le e-mail in cui è probabile che queste intestazioni siano state manipolate. Gli amministratori non devono disabilitare questa protezione e devono inoltrare i messaggi di posta elettronica sospetti con l’intestazione X-MS-Exchange-P2FromRegexMatch agli esperti di sicurezza per ulteriori analisi.
Consigli