BSI - Federal Bilgi Güvenliği Dairesi - geçmişte Exchange'deki güvenlik açıkları konusunda birkaç kez uyarıda bulunmuş ve sağlanan güvenlik güncellemelerinin derhal yüklenmesini tavsiye etmişti. Ancak eski sistemlere hâlâ yama yapılmadı ve yeni bir güvenlik açığı zaten yayınlandı.
Şu anda Almanya'da Outlook Web Access (OWA) ile çalışan ve İnternet'ten açık olarak erişilebilen yaklaşık 45.000 Microsoft Exchange sunucusu bulunmaktadır. BSI'ın bulgularına göre bunların yaklaşık %12'si hala Exchange 2010 veya 2013 çalıştırıyor. Ekim 2020 veya Nisan 2023'ten bu yana bu sürümler için herhangi bir güvenlik güncellemesi sunulmadı.
BSI, Exchange'deki güvenlik açığı konusunda bir kez daha uyardı
Exchange 2016 veya 2019'un güncel sürümlerine sahip sunucuların yaklaşık %28'i artık en az dört aylık yamalara sahiptir ve bu nedenle uzaktaki bir saldırganın kurban sistemde rastgele program kodu yürütmesine olanak tanıyan bir veya daha fazla kritik güvenlik açığına karşı savunmasızdır ( Uzaktan Kod Yürütme (RCE). Bu, Almanya'daki tüm Exchange sunucularının yaklaşık %25'ine karşılık gelir.
13.02.2024 Şubat 2024'te Exchange'de başka bir kritik güvenlik açığı keşfedildi (CVE-21410-14). Ancak bu bir yama ile kapatılmayacaktır. Bunun yerine, diğer şeylerin yanı sıra "Kimlik Doğrulama için Genişletilmiş Koruma"nın (EPA) etkinleştirilmesiyle güvenlik açığından yararlanılması önlenebilir. Ancak bir sunucunun bu güvenlik açığına karşı duyarlılığı dışarıdan net olarak değerlendirilemeyen çeşitli faktörlere bağlıdır. Exchange 2019 için Toplu Güncelleme 15, varsayılan olarak Genişletilmiş Korumayı etkinleştirir. Bu güncelleme Almanya'daki Exchange sunucularının yaklaşık %XNUMX'inde yüklüdür.
12.03.2024 Mart 2024'te yayınlanan güvenlik güncellemelerinde başka bir RCE güvenlik açığı (CVE-26198-XNUMX) düzeltildi. Bu güvenlik açığının oluşturduğu riske ilişkin nihai bir değerlendirme halen beklemede olduğundan burada henüz dikkate alınmamıştır.
Birçok Exchange sunucusu yeterince korunmuyor
Almanya'daki Microsoft Exchange sunucularının yaklaşık %12'si, bir süredir desteklenmeyen ve bu nedenle bazı kritik güvenlik açıklarına sahip olan 2010 veya 2013 sürümlerini çalıştırıyor. Bu nedenle, bu Exchange sunucularının İnternet üzerinde çalışmaya devam etmesinin oldukça riskli olduğu değerlendirilmektedir. Exchange sunucularının diğer %25'i ise 2016 veya 2019'un güncel sürümlerini çalıştırıyor ancak güncel olmayan bir yama düzeyine sahip; bu da bir veya daha fazla kritik güvenlik açığına sahip oldukları anlamına geliyor. Exchange sunucularının %48'i için kritik güvenlik açığı CVE-2024-21410'a ilişkin açık bir açıklama yapılamıyor. Operatörler Ağustos 2022'den bu yana mevcut olan genişletilmiş korumayı etkinleştirmediği veya başka koruyucu önlemler almadığı sürece bu sistemler hâlâ savunmasız durumda.
Sunucuların %15'i Exchange 2019 CU14'ün en son sürümünü çalıştırıyor ve Genişletilmiş Koruma varsayılan olarak etkin durumda. Bu nedenle bu sunucular büyük olasılıkla CVE-2024-21410 güvenlik açığına karşı savunmasız değildir.
BSI.Bund.de'de daha fazlası
Federal Bilgi Güvenliği Ofisi (BSI) hakkında Federal Bilgi Güvenliği Ofisi (BSI), federal siber güvenlik yetkilisidir ve Almanya'da güvenli sayısallaştırma tasarımcısıdır. Görev beyanı: Federal siber güvenlik otoritesi olarak BSI, devlet, iş dünyası ve toplum için önleme, tespit ve müdahale yoluyla dijitalleştirmede bilgi güvenliği tasarlar.