La BSI (Oficina Federal para la Seguridad de la Información) ha advertido varias veces en el pasado sobre vulnerabilidades en Exchange y ha recomendado que las actualizaciones de seguridad proporcionadas se instalen lo antes posible. Pero los sistemas antiguos todavía no están parcheados y ya se ha publicado una nueva vulnerabilidad.
Actualmente hay en Alemania alrededor de 45.000 servidores Microsoft Exchange que funcionan con Outlook Web Access (OWA), a los que se puede acceder abiertamente desde Internet. Según los hallazgos de BSI, alrededor del 12% de estos todavía ejecutan Exchange 2010 o 2013. No hay actualizaciones de seguridad disponibles para estas versiones desde octubre de 2020 o abril de 2023.
BSI advierte nuevamente sobre la vulnerabilidad de Exchange
🔎 Según la BSI, este es el estado de los servidores Exchange en Alemania en cuanto a su vulnerabilidad (Imagen: BSI).
De los servidores con las versiones actuales de Exchange 2016 o 2019, alrededor del 28% tienen ahora al menos cuatro meses de parches y, por lo tanto, son vulnerables a una o más vulnerabilidades críticas que permiten a un atacante remoto ejecutar código de programa arbitrario en el sistema víctima ( Ejecución Remota de Código, RCE). Esto corresponde a aproximadamente el 25% de todos los servidores Exchange en Alemania.
El 13.02.2024 de febrero de 2024 se descubrió otra vulnerabilidad crítica en Exchange (CVE-21410-14). Sin embargo, esto no se solucionará con un parche. En cambio, la explotación de la vulnerabilidad se puede evitar, entre otras cosas, activando la "Protección extendida para la autenticación" (EPA). Sin embargo, la susceptibilidad de un servidor a esta vulnerabilidad depende de varios factores que no pueden evaluarse claramente desde el exterior. La actualización acumulativa 2019 para Exchange 15 habilita la protección extendida de forma predeterminada. Esta actualización está instalada en aproximadamente el XNUMX% de los servidores Exchange en Alemania.
Otra vulnerabilidad de RCE (CVE-12.03.2024-2024) se solucionó en las actualizaciones de seguridad publicadas el 26198 de marzo de XNUMX. Aún está pendiente una evaluación final del riesgo que supone esta vulnerabilidad, por lo que todavía no se tiene en cuenta aquí.
Muchos servidores Exchange están mal protegidos
Alrededor del 12 % de los servidores Microsoft Exchange en Alemania ejecutan las versiones 2010 o 2013, que no son compatibles desde hace algún tiempo y, por tanto, presentan varios fallos de seguridad críticos. Por lo tanto, se considera que el funcionamiento continuo de estos servidores Exchange en Internet es muy arriesgado. Otro 25% de los servidores Exchange ejecutan las versiones actuales 2016 o 2019, pero tienen un nivel de parche desactualizado, lo que significa que también tienen una o más vulnerabilidades de seguridad críticas. Para el 48% de los servidores Exchange no se puede hacer ninguna declaración clara sobre la vulnerabilidad crítica CVE-2024-21410. Estos sistemas siguen siendo vulnerables a menos que los operadores hayan activado la protección ampliada, que está disponible desde agosto de 2022, o hayan tomado otras medidas de protección.
El 15 % de los servidores ejecutan la última versión de Exchange 2019 CU14, con la protección extendida habilitada de forma predeterminada. Por lo tanto, lo más probable es que estos servidores no sean vulnerables a la vulnerabilidad CVE-2024-21410.
Más en BSI.Bund.de
Acerca de la Oficina Federal para la Seguridad de la Información (BSI) La Oficina Federal para la Seguridad de la Información (BSI) es la autoridad federal de seguridad cibernética y el diseñador de la digitalización segura en Alemania. La declaración de misión: El BSI, como autoridad federal de seguridad cibernética, diseña la seguridad de la información en la digitalización a través de la prevención, detección y respuesta para el estado, las empresas y la sociedad.