Недавно обнаруженная уязвимость нулевого дня в Microsoft Exchange Server заставила экспертов объявить чрезвычайную ситуацию и настоятельно призвать директоров по информационной безопасности (CSO) задуматься о необходимости отказа от локальных решений электронной почты.
«Поскольку эта уязвимость уже эксплуатируется в реальных условиях, это не та ситуация, когда можно «установить патч на следующей неделе»; это чрезвычайная ситуация, требующая «немедленной митигации»», — предупредил Роб Эндерл из Enderle Group.
«Это еще одно напоминание о том, что нужно найти надежного облачного провайдера для электронной почты», — добавил Йоханнес Ульрих, декан по исследованиям в SANS Institute. «Exchange, развернутый локально, становится устаревшим продуктом, и хотя некоторым организациям он необходим для внутренней и исходящей почты, поверхность его атаки должна быть минимизирована за счет уменьшения его подверженности внешней почте».
Ульрих комментировал предупреждение Microsoft на этой неделе о межсайтовом скриптинге (cross-site scripting), затрагивающем Exchange Outlook Web Access (OWA), который может быть использован просто путем отправки специально сформированного электронного письма пользователю. Если пользователь открывает сообщение в Outlook Web Access и соблюдены определенные условия взаимодействия, в контексте браузера может быть выполнен произвольный JavaScript.
Ульрих признал, что избежать проблем с межсайтовым скриптингом в веб-почтовых системах, таких как Outlook Web Access, сложно. Система веб-почты должна включать HTML-письма, полученные от пользователей, в HTML приложения, не смешивая их. Такие методы, как изолированные (sandboxed) iFrame, могут помочь, но их необходимо применять осторожно.
В то же время, по его словам, уязвимости межсайтового скриптинга в веб-почте обычно могут использоваться для чтения содержимого письма, а в некоторых случаях даже для отправки письма.
«К счастью, — добавил он, — многие организации уже отказались от локального Exchange и Outlook Web Access».
«Я предполагаю, что это плохо», — сказал Келман Мегу, технический директор DeepCove Cybersecurity, «но запуск локального сервера Exchange в целом тоже не лучше».
Уязвимость (CVE-2026-42897) затрагивает Exchange Server 2016, 2019 и Server Subscription Edition (SE) независимо от их уровней обновлений.
Облачный сервис Exchange Online не затронут.
Митигация
Microsoft все еще работает над исправлением безопасности. Тем временем администраторам Exchange следует знать, что если на их серверах включена служба Exchange EM Service — а она должна быть включена, поскольку с момента выпуска в сентябре 2021 года она включена по умолчанию, — то автоматическая митигация Microsoft для этой уязвимости уже опубликована для затронутых версий Exchange.
Если служба EM по какой-либо причине была отключена, ее следует немедленно включить. Однако обратите внимание, что служба EM не сможет проверять наличие новых мер митигации, если на сервере используется версия Exchange Server старше марта 2023 года.
Те, кто не может использовать EM Server, например, из-за отключенных или изолированных (air-gapped) сред, должны загрузить последнюю версию инструмента митигации для локального Exchange (Mitigation Tool (EOMT)) и применить митигацию на уровне отдельного сервера или на всех серверах одновременно, запустив скрипт через повышенную сессию Exchange Management Shell.
Известные проблемы с тактиками митигации
Однако администраторам следует отметить, что существуют известные проблемы после применения митигации вручную или автоматически через службу EM.
Функция печати календаря OWA может не работать. В качестве обходного пути скопируйте данные или сделайте скриншот календаря, который вы хотите распечатать, или используйте настольный клиент Outlook.
Встроенные изображения могут некорректно отображаться в области чтения OWA получателя. В качестве обходного пути отправляйте изображения в виде вложений к письму или используйте настольный клиент Outlook.
OWA light (URL OWA, заканчивающийся на /?layout=light) работает некорректно. Обратите внимание, что эта функция была выведена из эксплуатации несколько лет назад и не предназначена для регулярного производственного использования.
Администраторы могут увидеть сообщение «Mitigation invalid for this Exchange version» (Митигация недействительна для этой версии Exchange) в деталях митигации. Эта проблема носит косметический характер, и митигация применяется успешно, если статус отображается как «Applied» (Применено). Microsoft изучает, как устранить этот сбой.
Обновления, которые появятся «в будущем»
Представителю Microsoft был задан вопрос о сроках выпуска обновления безопасности. Нам было предложено ознакомиться с заявлением компании.
В своем предупреждении Microsoft заявляет, что обновления безопасности для затронутых версий Exchange Server появятся «в будущем». Они будут предназначены для Exchange SE RTM, Exchange 2016 CU23 и Exchange Server 2019 CU14 и CU15. Пользователям, использующим более старые версии CU, настоятельно рекомендуется обновиться немедленно.
Обновление для Exchange SE будет выпущено как общедоступное обновление безопасности. Обновления для Exchange 2016 и 2019 будут выпускаться только для клиентов, участвующих в программе Extended Security Update (ESU) для Exchange Server Период 2. Клиенты ESU только Периода 1 не получат это обновление, поскольку эта программа завершилась в прошлом месяце.
Эндерл заявил, что тот факт, что Microsoft выпустила промежуточное исправление, которое нарушает работу таких функций, как печать календаря и встроенные изображения, является «явным признаком того, насколько отчаянно они пытаются остановить кровотечение.
«CSO должны отказаться от подхода «подождать и посмотреть» и рассматривать это как лакмусовый тест для своей автоматизации безопасности», — сказал он. «Если в вашей команде включена служба экстренной митигации Exchange (EM Service), вы уже должны быть защищены, но вам необходимо убедиться, что «Митигация M2» действительно активна во всем вашем инвентаре. Если вы используете изолированные среды или служба EM отключена, вы остаетесь беззащитными, пока вручную не запустите скрипт EOMT».
Это еще один «мощный толчок» от Редмонда к переходу с локальной почты, добавил Эндерл. «Если вы еще не планируете свой уход с локального Exchange, ваш профиль риска будет только расти, поскольку эти уязвимости нулевого дня становятся новой нормой. Это демонстрирует, что Azure и веб-сервисы в целом — это то, куда индустрия, и особенно Microsoft, подталкивает ИТ-отрасли, хотят они того или нет».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
