Le BSI – Office fédéral pour la sécurité de l'information – a déjà alerté à plusieurs reprises sur les vulnérabilités d'Exchange et a recommandé d'installer rapidement les mises à jour de sécurité fournies. Mais les anciens systèmes ne sont toujours pas corrigés et une nouvelle vulnérabilité a déjà été publiée.
Il existe actuellement en Allemagne environ 45.000 12 serveurs Microsoft Exchange fonctionnant avec Outlook Web Access (OWA) et accessibles librement depuis Internet. Selon les conclusions du BSI, environ 2010 % d'entre eux utilisent encore Exchange 2013 ou 2020. Aucune mise à jour de sécurité n'a été mise à disposition pour ces versions depuis octobre 2023 ou avril XNUMX.
BSI met à nouveau en garde contre la vulnérabilité d'Exchange
🔎 Selon le BSI, voici l'état des serveurs Exchange en Allemagne en termes de vulnérabilité (Image : BSI).
Parmi les serveurs dotés des versions actuelles d'Exchange 2016 ou 2019, environ 28 % ont désormais au moins quatre mois avec des correctifs et sont donc vulnérables à une ou plusieurs vulnérabilités critiques qui permettent à un attaquant distant d'exécuter du code de programme arbitraire sur le système victime ( Exécution de code à distance (RCE). Cela correspond à environ 25 % de tous les serveurs Exchange en Allemagne.
Le 13.02.2024 février 2024, une autre vulnérabilité critique dans Exchange a été découverte (CVE-21410-14). Cependant, cela ne sera pas résolu par un patch. Au lieu de cela, l’exploitation de la vulnérabilité peut être empêchée, entre autres, en activant la « Protection étendue pour l’authentification » (EPA). Cependant, la vulnérabilité d'un serveur à cette vulnérabilité dépend de divers facteurs qui ne peuvent pas être clairement évalués de l'extérieur. La mise à jour cumulative 2019 pour Exchange 15 active la protection étendue par défaut. Cette mise à jour est installée sur environ XNUMX % des serveurs Exchange en Allemagne.
Une autre vulnérabilité RCE (CVE-12.03.2024-2024) a été corrigée dans les mises à jour de sécurité publiées le 26198 mars XNUMX. Une évaluation finale du risque posé par cette vulnérabilité est toujours en attente, elle n’est donc pas encore prise en compte ici.
De nombreux serveurs Exchange sont mal protégés
Environ 12 % des serveurs Microsoft Exchange en Allemagne exécutent des versions 2010 ou 2013, qui ne sont plus prises en charge depuis un certain temps et présentent donc plusieurs failles de sécurité critiques. Le fonctionnement continu de ces serveurs Exchange sur Internet est donc considéré comme très risqué. 25 % des serveurs Exchange exécutent les versions actuelles 2016 ou 2019, mais disposent d'un niveau de correctif obsolète, ce qui signifie qu'ils présentent également une ou plusieurs vulnérabilités de sécurité critiques. Pour 48 % des serveurs Exchange, aucune déclaration claire ne peut être faite concernant la vulnérabilité critique CVE-2024-21410. Ces systèmes restent vulnérables à moins que les opérateurs n’aient activé la protection étendue, disponible depuis août 2022, ou n’aient pris d’autres mesures de protection.
15 % des serveurs exécutent la dernière version d'Exchange 2019 CU14, avec la protection étendue activée par défaut. Ces serveurs ne sont donc probablement pas vulnérables à la vulnérabilité CVE-2024-21410.
Plus sur BSI.Bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.