かつて、合理的な人々 セキュリティ、プライバシー、信頼性を重視する企業は、独自の電子メール サーバーを運用していました。 今日、大多数の企業が個人の電子メールをクラウドでホストしており、その大きな負担を Google や Microsoft などの企業の有能なセキュリティ チームとエンジニアリング チームに任せています。 現在、サイバーセキュリティの専門家は、企業や政府のネットワークについても、同様の切り替えが予定されているか、かなり遅れていると主張しています。 オンプレミスの Microsoft Exchange を使用し、依然としてクローゼットやデータ センターのどこかで独自の電子メール マシンを実行している企業にとって、クラウド サービスに移行する時が来ました。断固たるハッカーを締め出すことはほぼ不可能になりました。
台湾のセキュリティ研究者であるオレンジ ツァイ氏は、今週初めにその闘争を思い出させる最新の情報を伝えました。 ブログ記事を公開しました Microsoft Exchange のセキュリティ脆弱性の詳細を説明します。 Tsai は 2021 年 6 月にこの脆弱性について Microsoft に警告し、同社はいくつかの部分的な修正をリリースすることで対応しましたが、Microsoft が根本的なセキュリティ問題を完全に解決するのに 14 か月かかりました。 Tsai は以前、Exchange に関連する脆弱性が報告されており、Hafnium として知られる中国政府が支援するハッカーによって大規模に悪用されました。Hafnium は昨年、30,000 を超える標的に侵入しました。 しかし、今週の Tsai の投稿で説明されているタイムラインによると、Microsoft は同じ脆弱性の新しいバリエーションの修正を繰り返し延期し、Tsai にバグにパッチを当てることを 4 回以上約束してから、完全なパッチを数か月延長しました。 Microsoft が最終的に修正プログラムをリリースしたとき、Tsai は書いていますが、まだ手動で有効化する必要があり、さらに 4 か月間ドキュメントがありませんでした。
一方、先月明らかになった Exchange で活発に悪用されている別の脆弱性ペア まだ未修正のまま 研究者が、Microsoft の最初の欠陥修正の試みが失敗したことを示した後、. これらの脆弱性は、Exchange のコードにおけるセキュリティ バグの長年にわたるパターンの最新のものにすぎません。 また、Microsoft が Exchange のパッチをリリースしたとしても、それらをインストールするための技術的なプロセスに時間がかかるため、多くの場合、それらは広く実装されていません。
これらの複合的な問題の結果は、Exchange サーバーを実行することでハッカーが引き起こした頭痛の種が山積みになっているのを見てきた多くの人にとって、十分に明確なメッセージです。それ。
「オンプレミスの Exchange から永遠に離れる必要があります。 セキュリティ企業トレンドマイクロのゼロデイイニシアチブ(ZDI)の脅威認識責任者であるダスティン・チャイルズは、一般的に使用されているソフトウェアの脆弱性の発見と報告に対して研究者に報酬を支払い、Pwn2Own ハッキングコンテストを運営しています。 「インフラストラクチャの本当にミッション クリティカルなコンポーネントに期待されるような、セキュリティの修正に関するサポートが得られません。」
Orange Tsai が公開した複数の脆弱性と、先月明らかになった 2 つの積極的に悪用されたパッチ未適用のバグの他に、Childs は、研究者が ZDI に報告し、ZDI が 2 週間前に Microsoft に報告した Exchange の別の 20 のセキュリティ上の欠陥を指摘しています。パッチを適用しないでください。 「現在、Exchange は非常に幅広い攻撃対象領域を持っており、セキュリティの観点から、ここ数年、非常に包括的な作業が行われていませんでした」と Childs 氏は言います。