O BSI – Escritório Federal de Segurança da Informação – alertou diversas vezes no passado sobre vulnerabilidades no Exchange e recomendou que as atualizações de segurança fornecidas fossem instaladas imediatamente. Mas os sistemas antigos ainda não foram corrigidos e uma nova vulnerabilidade já foi publicada.
Existem atualmente cerca de 45.000 servidores Microsoft Exchange na Alemanha operando com Outlook Web Access (OWA) que podem ser acessados abertamente pela Internet. De acordo com as conclusões do BSI, cerca de 12% deles ainda executam o Exchange 2010 ou 2013. Nenhuma atualização de segurança foi disponibilizada para essas versões desde outubro de 2020 ou abril de 2023.
BSI alerta novamente sobre vulnerabilidade do Exchange
Dos servidores com as versões atuais do Exchange 2016 ou 2019, cerca de 28% têm agora pelo menos quatro meses de patches e são, portanto, vulneráveis a uma ou mais vulnerabilidades críticas que permitem que um invasor remoto execute código de programa arbitrário no sistema da vítima ( execução remota de código (RCE). Isto corresponde a cerca de 25% de todos os servidores Exchange na Alemanha.
Em 13.02.2024 de fevereiro de 2024, foi descoberta outra vulnerabilidade crítica no Exchange (CVE-21410-14). No entanto, isso não será fechado por um patch. Em vez disso, a exploração da vulnerabilidade pode ser evitada, entre outras coisas, ativando a “Proteção Estendida para Autenticação” (EPA). No entanto, a susceptibilidade de um servidor a esta vulnerabilidade depende de vários factores que não podem ser claramente avaliados a partir do exterior. A Atualização Cumulativa 2019 para Exchange 15 habilita a Proteção Estendida por padrão. Esta atualização está instalada em cerca de XNUMX% dos servidores Exchange na Alemanha.
Outra vulnerabilidade RCE (CVE-12.03.2024-2024) foi corrigida nas atualizações de segurança lançadas em 26198 de março de XNUMX. Uma avaliação final do risco representado por esta vulnerabilidade ainda está pendente, pelo que ainda não foi considerada aqui.
Muitos servidores Exchange estão mal protegidos
Cerca de 12% dos servidores Microsoft Exchange na Alemanha executam versões 2010 ou 2013, que não são suportadas há algum tempo e, portanto, apresentam várias falhas críticas de segurança. A operação contínua destes servidores Exchange na Internet é, portanto, considerada altamente arriscada. Outros 25% dos servidores Exchange estão executando as versões atuais 2016 ou 2019, mas possuem um nível de patch desatualizado, o que significa que também apresentam uma ou mais vulnerabilidades críticas de segurança. Para 48% dos servidores Exchange, nenhuma declaração clara pode ser feita sobre a vulnerabilidade à vulnerabilidade crítica CVE-2024-21410. Estes sistemas continuam vulneráveis, a menos que os operadores tenham activado a protecção alargada, que está disponível desde Agosto de 2022, ou tomado outras medidas de protecção.
15% dos servidores estão executando a versão mais recente do Exchange 2019 CU14, com Proteção Estendida habilitada por padrão. Portanto, esses servidores provavelmente não são vulneráveis à vulnerabilidade CVE-2024-21410.
Mais em BSI.Bund.de
Sobre o Escritório Federal de Segurança da Informação (BSI) O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.