Exchange Online irá bloquear e-mails provenientes de servidores locais vulneráveis
28 de Março de 2023

A Microsoft está introduzindo um novo recurso de segurança do Exchange Online que irá começar a limitar e eventualmente bloquear todos os e-mails enviados de "servidores Exchange persistentemente vulneráveis" 90 dias depois que os administradores são notificados para protegê-los.

Como Redmond explica, esses são servidores Exchange em ambientes locais ou híbridos que executam software de fim de vida ou não foram corrigidos contra bugs de segurança conhecidos.

"Qualquer servidor Exchange que tenha atingido o fim da vida útil (por exemplo, Exchange 2007, Exchange 2010 e em breve, Exchange 2013), ou permanece não corrigido para vulnerabilidades conhecidas", explicou a Equipe do Exchange.

"Por exemplo, servidores Exchange 2016 e Exchange 2019 que estão significativamente atrasados em atualizações de segurança são considerados persistentemente vulneráveis".

A Microsoft diz que este novo "sistema de aplicação de transporte" do Exchange Online tem três funções distintas: relatório, limitação e bloqueio.

O principal objetivo do novo sistema é ajudar os administradores do Exchange a identificar servidores do Exchange locais não corrigidos ou não suportados, permitindo que eles os atualizem ou corrijam antes que se tornem riscos de segurança.

No entanto, ele também será capaz de limitar e eventualmente bloquear e-mails de servidores do Exchange que não foram corrigidos antes de chegarem às caixas de correio do Exchange Online.

Este novo sistema de aplicação só afetará servidores que executam o Exchange Server 2007 usando conectores OnPremises para enviar correio para permitir a afinação antes de se expandir para todas as versões do Exchange, independentemente de como se conectam ao Exchange Online, após a afinação.

Redmond diz que segue uma abordagem progressiva projetada para aumentar gradualmente a limitação e introduzir o bloqueio de e-mails até que todos os e-mails enviados de servidores vulneráveis sejam rejeitados.

Essas ações de aplicação foram projetadas para aumentar lentamente até que os servidores do Exchange vulneráveis sejam corrigidos pela remoção do serviço (para versões de fim de vida) ou corrigidos (no caso de versões ainda sob suporte).

"Nosso objetivo é ajudar os clientes a proteger seu ambiente, onde quer que escolham executar o Exchange", disse a Equipe do Exchange.

"O sistema de aplicação foi projetado para alertar os administradores sobre riscos de segurança em seu ambiente e para proteger os destinatários do Exchange Online de mensagens potencialmente maliciosas enviadas de servidores Exchange persistentemente vulneráveis".

Para alguns administradores, garantir que os e-mails enviados de servidores vulneráveis em seu ambiente para as caixas de correio do Exchange Online não serão automaticamente bloqueados provavelmente será outro "incentivo" que se somará ao seu esforço contínuo para manter os usuários finais protegidos contra ataques potenciais.

Este anúncio segue um apelo à ação em janeiro, quando a Microsoft pediu aos clientes que mantivessem seus servidores Exchange locais atualizados aplicando sempre a última atualização cumulativa suportada (CU) para tê-los prontos para as atualizações de segurança de emergência.

A Microsoft também pediu aos administradores que aplicassem as últimas correções nos servidores de Exchange o mais rápido possível após a emissão de atualizações de segurança de emergência fora do ciclo para abordar vulnerabilidades do ProxyLogon exploradas em ataques meses antes das correções oficiais serem lançadas.

Mais recentemente, a Microsoft corrigiu outro conjunto de bugs de RCE do Exchange conhecidos como ProxyNotShell, dois meses depois que a exploração foi detectada pela primeira vez.

Uma pesquisa do Shodan ainda mostra um grande número de servidores do Exchange expostos à Internet, com milhares deles aguardando serem protegidos contra ataques que os visam com exploits do ProxyLogon e do ProxyShell, duas das vulnerabilidades mais exploradas em 2021.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...