Il BSI – Ufficio federale per la sicurezza informatica – ha più volte messo in guardia in passato sulle vulnerabilità di Exchange e ha raccomandato di installare tempestivamente gli aggiornamenti di sicurezza forniti. Ma ai vecchi sistemi non sono ancora state applicate le patch ed è già stata pubblicata una nuova vulnerabilità.
Attualmente in Germania esistono circa 45.000 server Microsoft Exchange che funzionano con Outlook Web Access (OWA) ed è possibile accedervi liberamente da Internet. Secondo i rilevamenti del BSI, circa il 12% di questi utilizza ancora Exchange 2010 o 2013. Dall'ottobre 2020 o dall'aprile 2023 non è più disponibile alcun aggiornamento di sicurezza per queste versioni.
BSI avverte nuovamente della vulnerabilità di Exchange
🔎 Secondo BSI questo è lo stato dei server Exchange in Germania in termini di vulnerabilità (Immagine: BSI).
Dei server con le attuali versioni di Exchange 2016 o 2019, circa il 28% ha ormai almeno quattro mesi di patch ed è quindi vulnerabile a una o più vulnerabilità critiche che consentono a un aggressore remoto di eseguire codice di programma arbitrario sul sistema vittima ( esecuzione del codice remoto (RCE). Ciò corrisponde a circa il 25% di tutti i server Exchange in Germania.
Il 13.02.2024 febbraio 2024 è stata scoperta un'altra vulnerabilità critica in Exchange (CVE-21410-14). Tuttavia, questo non verrà risolto da una patch. Invece, lo sfruttamento della vulnerabilità può essere impedito, tra le altre cose, attivando la “Protezione estesa per l’autenticazione” (EPA). La predisposizione di un server a questa vulnerabilità dipende tuttavia da diversi fattori che non possono essere valutati chiaramente dall’esterno. L'aggiornamento cumulativo 2019 per Exchange 15 abilita la protezione estesa per impostazione predefinita. Questo aggiornamento è installato su circa il XNUMX% dei server Exchange in Germania.
Un'altra vulnerabilità RCE (CVE-12.03.2024-2024) è stata risolta negli aggiornamenti di sicurezza rilasciati il 26198 marzo XNUMX. La valutazione finale del rischio rappresentato da questa vulnerabilità è ancora in sospeso e pertanto non viene ancora presa in considerazione in questa sede.
Molti server Exchange sono scarsamente protetti
Circa il 12% dei server Microsoft Exchange in Germania utilizzano le versioni 2010 o 2013, che da tempo non sono più supportate e presentano quindi numerose lacune critiche in termini di sicurezza. Pertanto la continuazione del funzionamento di questi server Exchange su Internet è considerata altamente rischiosa. Un altro 25% dei server Exchange esegue le versioni attuali 2016 o 2019, ma ha un livello di patch obsoleto, il che significa che presentano anche una o più vulnerabilità di sicurezza critiche. Per il 48% dei server Exchange non è possibile fornire alcuna dichiarazione chiara in merito alla vulnerabilità critica CVE-2024-21410. Questi sistemi sono ancora vulnerabili a meno che gli operatori non abbiano attivato la protezione estesa, disponibile dall’agosto 2022, o abbiano adottato altre misure di protezione.
Il 15% dei server esegue l'ultima versione Exchange 2019 CU14, con la protezione estesa abilitata per impostazione predefinita. Molto probabilmente questi server non sono vulnerabili alla vulnerabilità CVE-2024-21410.
Maggiori informazioni su BSI.Bund.de
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.