BSI (連邦情報セキュリティ局) は、Exchange の脆弱性について過去に何度か警告し、提供されたセキュリティ更新プログラムを速やかにインストールすることを推奨してきました。しかし、古いシステムにはまだパッチが適用されておらず、新たな脆弱性がすでに公開されています。
現在、ドイツには約 45.000 台の Microsoft Exchange サーバーがあり、インターネットからオープンにアクセスできる Outlook Web Access (OWA) で動作しています。 BSI の調査結果によると、これらのバージョンの約 12% は依然として Exchange 2010 または 2013 を実行しています。2020 年 2023 月または XNUMX 年 XNUMX 月以降、これらのバージョンに対するセキュリティ更新プログラムは提供されていません。
BSI、Exchangeの脆弱性について改めて警告
🔎 BSI によると、これはドイツの Exchange サーバーの脆弱性の状況です (画像: BSI)。
現在のバージョンの Exchange 2016 または 2019 を搭載しているサーバーのうち、約 28% にはパッチが適用されてから少なくとも 25 か月が経過しているため、リモート攻撃者が被害システム上で任意のプログラム コードを実行できるようにする XNUMX つ以上の重大な脆弱性に対して脆弱です (リモートコード実行、RCE)。これは、ドイツの全 Exchange サーバーの約 XNUMX% に相当します。
13.02.2024 年 2024 月 21410 日、Exchange に別の重大な脆弱性が発見されました (CVE-14-2019)。ただし、これはパッチでは解決されません。代わりに、「認証のための拡張保護」(EPA) を有効にするなどして、脆弱性の悪用を防ぐことができます。ただし、サーバーがこの脆弱性に対する影響を受けやすいかどうかは、外部からは明確に評価できないさまざまな要因に依存します。 Exchange 15 の累積的な更新プログラム XNUMX では、デフォルトで拡張保護が有効になります。この更新プログラムは、ドイツの Exchange サーバーの約 XNUMX% にインストールされています。
別の RCE 脆弱性 (CVE-12.03.2024-2024) は、26198 年 XNUMX 月 XNUMX 日にリリースされたセキュリティ更新プログラムで修正されました。この脆弱性によってもたらされるリスクの最終評価はまだ保留中であるため、ここではまだ考慮されていません。
多くの Exchange サーバーは十分に保護されていません
ドイツの Microsoft Exchange サーバーの約 12% はバージョン 2010 または 2013 を実行していますが、これらはしばらくサポートされていないため、いくつかの重大なセキュリティ ギャップがあります。したがって、これらの Exchange サーバーをインターネット上で継続的に運用することは非常に危険であると考えられます。さらに 25% の Exchange サーバーは現行バージョン 2016 または 2019 を実行していますが、パッチ レベルが古いため、48 つ以上の重大なセキュリティ脆弱性も存在します。 Exchange サーバーの 2024% については、重大な脆弱性 CVE-21410-2022 の脆弱性に関して明確な声明は出せません。これらのシステムは、事業者が XNUMX 年 XNUMX 月から利用可能になった拡張保護を有効にするか、他の保護措置を講じない限り、依然として脆弱です。
サーバーの 15% が最新バージョンの Exchange 2019 CU14 を実行しており、拡張保護がデフォルトで有効になっています。したがって、これらのサーバーは CVE-2024-21410 の脆弱性に対して脆弱ではない可能性が高くなります。
詳細は BSI.Bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。