Меры защиты серверов Exchange

Практически любой эксперт по кибербезопасности не будет спорить с тем, что атаки на серверы Microsoft Exchange следует считать неизбежными, а риск компрометации серверов Exchange всегда высок. В октябре Microsoft завершила поддержку Exchange Server 2019, так что единственным поддерживаемым on-premise-решением в 2026 году остается Exchange Server Subscription Edition (Exchange SE). При этом во многих организациях продолжают эксплуатироваться версии 2016, 2013 и даже более древние.

Для злоумышленников Exchange — настоящий магнит. Благодаря его популярности, сложности и изобилию настроек, а главное — доступности из внешних сетей, используя Exchange, злоумышленники проводят широкий спектр атак:

• проникновение в почтовые ящики с помощью атак password spraying или целевого фишинга;
• взлом учетных записей через устаревшие протоколы аутентификации;
• целевая кража писем посредством внедрения вредоносных правил обработки почты через Exchange Web Services;
• похищение токенов аутентификации сотрудников или подделка сообщений из-за недостатков обработки почты в инфраструктуре Exchange;
• эксплуатация уязвимостей в Exchange и IIS для запуска произвольного кода на сервере (веб-шеллов);
• распространение по сети и компрометация серверов (в этом случае сервер Exchange служит опорным хостом для разведки, хостинга ВПО и туннелирования трафика);
• долгосрочная кража почты при помощи специализированных имплантов для Exchange.

Чтобы оценить сложность и разнообразие атак на Exchange, стоит почитать исследования по угрозам GhostContainer, Owowa, ProxyNotShell, PowerExchange.

Усложнить злоумышленникам компрометацию Exchange и снизить остроту последствий атаки возможно, но придется принять целый ряд мер — от простой смены настроек до трудоемкой миграции протоколов аутентификации. Обзорное руководство по приоритетным мерам защиты недавно совместно выпустили CISA, Canadian Center for Cyber Security и другие англоязычные ИБ-регуляторы. С чего начать укрепление защиты on-premise-сервера Exchange?

Миграция с версий EOL

И Microsoft, и CISA рекомендуют переход на Exchange SE, чтобы своевременно получать обновления безопасности. Для организаций, которые не могут совершить переход, по специальной платной подписке доступен период дополнительной поддержки версий 2016 и 2019 (extended security updates, ESU). Microsoft подчеркивает, что обновление версий 2016 и 2019 до Exchange SE сопоставимо по сложности с установкой обычного накопительного обновления.

Если по какой-то причине необходимо оставить в работе неподдерживаемую версию, нужно максимально изолировать ее от внутренних и внешних сетей, а обработку почтовых соединений проводить через специально настроенный почтовый шлюз e-mail security gateway.

Регулярные обновления

Microsoft выпускает два кумулятивных обновления (CU) в год, а также ежемесячные хотфиксы. Ключевая задача администраторов Exchange — наладить оперативную установку этих обновлений, поскольку злоумышленники начинают эксплуатировать известные уязвимости очень быстро. Следить за составом и датами выхода обновлений можно на странице Microsoft, а проверить состояние своей инсталляции Exchange можно при помощи инструментов SetupAssist и HealthChecker.

Срочные обновления

Для срочных уязвимостей и ошибок рекомендации по временным мерам обычно публикуются в блоге Exchange и на странице Emergency Mitigation. Служба Emergency Mitigation должна быть запущена на серверах Exchange Mailbox. Она автоматически подключается к серверам Office Config Service и скачивает оттуда правила устранения срочных угроз. Эти меры позволяют быстро организовать отключение уязвимых сервисов и блокировку опасных запросов через правила перезаписи URL, устанавливаемые в IIS.

Безопасные базовые настройки

На серверах Exchange, равно как и на почтовых клиентах для всех используемых платформ, а также в операционных системах должны быть выставлены одинаковые для всей организации и оптимизированные для ее нужд настройки.

Рекомендуемые наборы настроек (security baselines) отличаются для различных ОС и версий Exchange, поэтому руководство CISA отсылает к популярным наборам инструкций CIS Benchmarks и Microsoft, доступным для бесплатного скачивания. Самый свежий CIS Benchmark создан для Exchange 2019, но он полностью применим к Exchange SE, поскольку по доступным настройкам текущая версия SE не отличается от Exchange Server 2019 CU15.

Специализированные защитные решения

Ключевая ошибка многих организаций — отсутствие агентов EDR и EPP на сервере Exchange. Чтобы предотвратить эксплуатацию уязвимостей и запуск веб-шеллов на сервере, необходимо защитить его, например, при помощи Kaspersky Endpoint Detection and Response. В Exchange Server интегрирована поддержка технологии AMSI, позволяющая защитным решениям эффективно обрабатывать события на сервере.

Значительно ограничить возможности атакующих при эксплуатации уязвимостей Exchange могут закрытые списки разрешенных к запуску приложений (allowlists). Эта функция есть в большинстве продвинутых решений EPP, но если нужно реализовать ее средствами Windows, то ограничить недоверенные приложения можно с помощью App Control for Business/AppLocker.

Для защиты сотрудников и их компьютеров сервер должен фильтровать почтовый трафик, например, при помощи Kaspersky Security for Mail Server. Это решает сразу несколько задач, для которых в «коробочном» on-prem Exchange нет инструментов, в их числе аутентификация отправителей почты с помощью SPF, DKIM, DMARC, защита от сложного спама и целевого фишинга.

Если по каким-то причинам на сервере все же нет EDR, как минимум необходимо активировать на нем встроенное решение MDAV и убедиться, что ASR-правило «block webshell creation for servers» тоже активно.

Чтобы избежать падения производительности сервера при работе MDAV, Microsoft рекомендует исключить из сканирования определенные файлы и папки.

Ограничение административного доступа

Для повышения привилегий в системе злоумышленники часто злоупотребляют доступом к Exchange Admin Center (EAC) и дистанционным запуском PowerShell. Эти инструменты лучше всего сделать доступными исключительно с фиксированного количества административных компьютеров (PAW), применив для этого возможности межсетевого экрана на серверах Exchange либо возможности Kaspersky NGFW. Ограниченно полезен в этом случае инструмент Client Access Rules в самом Exchange (но он не заблокирует злоупотребление PowerShell).

Применение Kerberos и SMB вместо NTLM

Устаревшие протоколы сетевого взаимодействия и аутентификации постепенно выводятся Microsoft из обращения. Современные инсталляции Windows отключают по умолчанию SMBv1 и NTLMv1, а в будущих версиях будет отключен и NTLMv2. Начиная с Exchange SE CU1, протоколом аутентификации по умолчанию будет Kerberos, а не NTLMv2. Реализовано это на базе MAPI поверх HTTP.

Уже сейчас ИТ- и ИБ-службы должны провести подробный аудит использования устаревших протоколов в инфраструктуре и разработать план миграции к современным, более надежным протоколам аутентификации.

Современные методы аутентификации

Начиная с Exchange 2019 CU13, клиентам доступно сочетание OAuth 2.0, MFA и ADFS для надежной аутентификации на сервере. Это называется Modern Auth. Доступ в почтовый ящик можно получить только после того, как клиент пройдет многофакторную аутентификацию через ADFS и сервер Exchange получит токен доступа от сервера ADFS. После миграции всех пользователей на Modern Auth нужно отключить базовую аутентификацию на сервере Exchange.

Активация Extended Protection

Extended Protection (EP) обеспечивает защиту от атак NTLM relay, атак AitM и других подобных техник. Инструменты EP усиливают защиту TLS с помощью токена привязки сессии к каналу (CBT). Если атакующий похищает учетные данные или токен и пытается использовать его в другой TLS-сессии, то соединение разрывается сервером. Для активации EP необходимо, чтобы все серверы Exchange использовали одинаковую версию TLS.

Начиная с Exchange 2019 CU14, расширенная защита активна по умолчанию на новых инсталляциях сервера.

Безопасные версии TLS

Вся серверная инфраструктура и все серверы Exchange должны быть сконфигурированы для применения одной и той же версии TLS, 1.2 или в идеале 1.3. Подробные рекомендации по оптимальной настройке и необходимым предварительным проверкам дает Microsoft, а инструмент HealthChecker позволит проверить корректность и единообразие настроек.

HSTS

Чтобы все соединения были защищены TLS, дополнительно потребуется настроить HTTP Strict Transport Security (HSTS). Это позволяет остановить некоторые AitM-атаки. После изменения настроек Exchange Server по рекомендациям Microsoft все соединения с Outlook on the Web/OWA и EAC будут принудительно зашифрованы.

Download Domains

Функция Download Domains защищает от некоторых атак CSRF и похищения куки, перемещая загрузку вложений на отдельный домен, отличный от того, на котором работает Outlook for Web в организации. Загрузка интерфейса и списков писем и загрузка вложений ведутся с разных доменов.

Ролевая модель администрирования

В рамках Exchange Server реализована ролевая модель доступа (RBAC) для привилегированных пользователей и администраторов.
CISA отмечает, что зачастую учетные записи с привилегиями AD administrator также используются для управления Exchange. В такой конфигурации компрометация Exchange сразу приводит к полной компрометации домена.

Необходимо использовать разделение привилегий и RBAC, чтобы функции управления Exchange были отделены от других прав администрирования и чтобы снизить количество пользователей и администраторов с избыточными правами.

Подпись потоков PowerShell

Администраторы регулярно используют сценарии PowerShell для изменения настроек и управления серверами Exchange. Типовые сценарии называются cmdlets и исполняются на сервере через Exchange Management Shell (EMS). Дистанционный доступ к PowerShell желательно держать отключенным, а когда он активирован, необходимо защищать отправляемые на сервер потоки данных с командами, используя сертификаты. С ноября 2023 года эта настройка Exchange 2013, 2016 и 2019 активна по умолчанию.

Защита почтовых заголовков

В ноябре 2024 года Microsoft внедрила дополнительную защиту от атак, в которых заголовки писем P2 FROM можно было подменить так, что в почтовом клиенте жертвы письмо выглядело как отправленное доверенным отправителем. Новые правила детектирования помечают письма, в которых этими заголовками, вероятно, манипулировали. От администраторов требуется не отключать эту защиту и отправлять подозрительные письма с заголовком X-MS-Exchange-P2FromRegexMatch на дополнительный анализ.