Новый репортаж от Отдел исследования угроз Acronis обнаружил уязвимость в настройках Microsoft Exchange Online, которая может сделать возможным подмену электронной почты.
Эта проблема в первую очередь затрагивает пользователей с гибридной конфигурацией локального Exchange и Exchange Online, а также тех, кто использует сторонние решения для обеспечения безопасности электронной почты.
В июле 2023 года Microsoft внесла существенные изменения в обработку DMARC (проверка подлинности сообщений, отчетность и соответствие на основе домена) в Microsoft Exchange. Это обновление было предназначено для повышения безопасности за счет улучшения способа проверки серверами электронной почты легитимности входящих электронных писем. К сожалению, несмотря на четкие инструкции Microsoft, многие пользователи еще не внедрили эти меры безопасности, в результате чего их системы становятся уязвимыми для различных киберугроз, особенно для подмены электронной почты.
Как неправильные настройки приводят к уязвимостям безопасности
Microsoft Exchange Online можно использовать в качестве почтового сервера без необходимости использования локальных серверов Exchange или сторонних решений для защиты от спама. Однако уязвимости возникают, когда Exchange Online используется в гибридных средах, где локальные серверы Exchange взаимодействуют с Exchange Online через соединители, или когда задействован сторонний сервер MX.
электронная почта остается основной мишенью для киберпреступников, поэтому необходимы надежные протоколы безопасности для защиты от подделки. Для этой цели были разработаны три ключевых протокола: Sender Policy Framework (SPF) проверяет, имеет ли почтовый сервер право отправлять электронную почту от имени домена, используя записи DNS. DomainKeys Identified Mail (DKIM) позволяет подписывать электронные письма цифровой подписью, гарантируя, что они поступают с авторизованного сервера, и проверяя подлинность домена отправителя. Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC) определяет, что делать с электронными письмами, которые не проходят проверку SPF или DKIM, и определяет такие действия, как отклонение или карантин для получения электронной почты. — Повышение безопасности.
Чтобы понять, как протоколы безопасности электронной почты работают вместе, рассмотрим типичный поток электронной почты: Сервер А инициирует DNS-запрос к серверу почтового обмена (MX) домена получателя (например, Ourcompany.com), а затем отправляет электронное письмо с адреса «user@company.com». com» на «user2@ourcompany.com» через один из серверов MX (сервер B). Затем сервер Б проверяет электронное письмо, проверяя, пришло ли оно с авторизованного сервера (проверка SPF), проверяя наличие действительной подписи DKIM и выполняя действия, указанные в политике DMARC домена. Если сервер A не указан в записях SPF, не имеет действующей подписи DKIM или для политики DMARC установлено значение «Отклонить», сервер B должен отклонить электронное письмо. Однако если принимающий сервер настроен неправильно, эти проверки безопасности можно обойти, что предотвратит доставку электронной почты и создаст значительную угрозу безопасности.
В гибридной среде мастер гибридной установки Exchange обычно создает стандартные входящие и исходящие соединители для облегчения обмена данными между Exchange Online и локальными серверами Exchange. Однако неправильные настройки все равно могут возникать, особенно если администраторы не знают о потенциальных рисках или не блокируют свою организацию Exchange Online, чтобы принимать электронную почту только из надежных источников.
Соединители входящей почты играют решающую роль в определении того, как входящие электронные письма обрабатываются сервером Exchange. В гибридных средах администраторы должны убедиться, что правильные соединители установлены и правильно настроены. Это включает в себя создание партнерского соединителя с определенными IP-адресами или сертификатами, чтобы гарантировать прием электронных писем только из надежных источников. Без этих средств защиты неправильно настроенные входящие соединители могут позволить вредоносным электронным письмам обойти проверки безопасности, что приведет к потенциальному компрометации.
При использовании стороннего сервера MX важно соответствующим образом настроить экземпляр Exchange Online. Рекомендации Майкрософт. В противном случае компания может подвергнуться спуфинговым атакам, поскольку электронные письма могут обходить важные проверки безопасности, такие как DMARC, SPF и DKIM.
Например, если запись MX домена получателя арендатора указывает на стороннее решение по обеспечению безопасности электронной почты, а не на решение Microsoft, политики DMARC не будут применяться. Это может привести к доставке электронных писем из непроверенных источников, что увеличивает риск фишинговых и спуфинговых атак.
Чтобы защититься от подделки электронной почты и связанных с этим рисков, администраторы должны усилить свою среду Exchange, выполнив следующие ключевые шаги:
- Создайте дополнительные соединители входящей почты, следуя рекомендациям Microsoft, чтобы ограничить входящие электронные письма доверенными источниками.
- Внедрите расширенные фильтры для соединителей, чтобы применить дополнительные проверки безопасности.
- Используйте защиту от потери данных (DLP) и правила транспорта, чтобы предотвратить несанкционированную электронную почту и защитить конфиденциальную информацию.
- Проводите регулярные проверки безопасности, чтобы убедиться, что конфигурации сервера Exchange соответствуют новейшим практикам безопасности.
Больше от TechRadar Pro
