در ادامه‌ی معرفی برخی از مهم‌ترین آسیب‌پذیری‌های مرتبط با Microsoft Exchange در مقاله‌های قبلی، در این مقاله راه‌‌کارهای جلوگیری از اکسپلویت آسیب‌پذیری و پیشگیری از آسیب‌پذیری‌های روز صفر معرفی شده است.

با توجه به این‌که در رخداد‌های اخیر امنیت سامانه‌های Exchange از اهمیت ویژه‌ای برخوردار بوده است و بسیاری از سازمان‌ها از طریق Microsoft Exchange Server مورد نفوذ قرار گرفته‌اند، پیشنهاد می‌شود از لایه‌های امنیتی بیشتری همانند FortiMail، Cisco ESA یا FortiWeb جهت امنیت بیشتر این سامانه استفاده شود.
همچنین جهت امنیت بیشتر سامانه، بهتر است سامانه فقط با VPNهای اختصاصی سازمان قابل دسترسی باشند تا احتمال دسترسی غیرمجاز به سامانه کاهش یابد.

معرفی FortiMail:

فارغ از کوچک یا بزرگ بودن سازمان‌، ضروری است که امنیت سامانه‌ی ایملیل سازمانی مورد توجه قرار گیرد. این مهم توسط FortiMail فراهم می‌شود و توانایی FortiMail در حفاظت از سامانه‌ی ایمیل کاملاً به اثبات رسیده است. این ابزار، از ورود اسپم و بدافزار به شبکه‌ها و سایر حملاتی که از طریق پیغام‌ها صورت می‌گیرند، جلوگیری به عمل می‌آورد. FortiMail کاملاً هوشمند است و از این‌که شبکه به بستری برای انتشار نفوذها و تهدیدات مبدل‌ شود، جلوگیری می‌کند.

در FortiMail موتوری وجود دارد که به کمک فیلتر ورودی آن، هرزنامه‌ها و بدافزارها قبل از ایجاد خرابی و یا آلوده‌سازی کابران، مسدود می‌شوند. هم‌چنین در هنگام خروج نیز با بهره‌گیری از فناوری بررسی خروجی، با مسدود‌سازی بدافزار و اسپم‌های خروجی، و نیز ایجاد ترافیک روان، مانع از قرارگیری ایمیل‌های کاربران در لیست سیاه از طریق دروازه‌های AntiSpam می‌شود. علاوه بر این، این نرم‌افزار به کمک رمزنگاری براساس هویت FortiMail(IBE),S/MIME و رمزنگاری TLS موجبات تحویل محتوا با خاطری آرام و مطمئن را فراهم می‌سازد و نیز به‌کمک SOX، GLBA و HIPAA و یا لغت‌نامه‌های از پیش‌تعیین‌شده، به صورت تصادفی یا با برنامه‌ریزی از قبل، مانع از نابودی محرمانگی شده و از آن پیشگیری می‌کند.

معرفی Cisco ESA:

امروزه باتوجه به حجم عظیم ایمیل‌ها و وجود اسپم و تهدیدات امنیتی نیاز به تجهیزاتی قدرتمند جهت جلوگیری از اسپم و شناسایی آسیب‌های امنیتی در ایمیل‌ها احساس می‌شود. تجهیزات سیسکو که با نام Email Security Appliance یا به اختصار ESA شناخته می‌شوند، دارای هوش مصنوعی قوی و قابلیت‌های یادگیری ماشین بوده و قادر به پردازش حجم وسیعی از ایمیل‌ها هستند و انواع هرزنامه‌ها، ویروس‌ها، تروجان‌ها و آسیب‌پذیری‌های دیگر را به سرعت شناسایی و تهدیدات ناشی‌ از آن‌ها را خنثی کرده و شبکه‌ای امن و پایدار را به ارمغان می آورند.

معرفی FortiWeb:

FortiWeb یکی از محصولات شرکت Fortinet است که با بهره‌گیری از هوش مصنوعی بهبودیافته و روش‌های تشخیص چندلایه از اپلیکیشن‌های وب تحت میزبانی خود در مقابل حملاتی که هدف‌شان اکسپلویت‌های شناخته‌شده، ناشناس و تهدیدات zero-day هستند، محافظت می‌نماید.

Web Application Firewall، که به اختصار WAF خوانده می‌شود، به‌کمک‌ سرویس‌های امنیتی FortiGaurd به‌طور خودکار و پیوسته ابزارهای مقابله با تهدیدات امنیتی را تنظیم و به‌روزرسانی می‌کند و براساس ربات‌ها و موتورهای تشخیص و دیتابیس‌های سایت‌های مشکوک از برنامه‌ها محافظت می‌کند و  توزیع‌ بار لایه‌ی ۷ و شتاب‌دهی (SSL offloading) به منظور اپلیکیشن‌های کارآمد فراهم می‌شود.

از FortiWeb به منظور بهره‌گیری از قابلیت سرویس‌های ابری FortiSandbox، شناسایی حملات برنامه‌های مبتنی‌بروب و نیز اعتبارسنجی IP که باعث حذف اتوماتیک منابع مخرب و بات‌نت‌ها می‌شوند، استفاده می‌شود.

دستورالعمل Microsoft برای رفع آسیب‌پذیری‌های Microsoft Exchange:

دستورالعمل ارائه‌شده توسط مایکروسافت، سریع‌ترین روش برای ایمن‌سازی سرور‌های Exchange است. ابزار Exchange On-premises به طور خودکار همه‌ی dependencyها را دانلود و اسکنر Microsoft Safety را اجرا می‌کند. این روش برای مستقرسازی Exchange روی سرورهای دارای دسترسی مستقیم به اینترنت توسط متخصصینی که می‌خواهند آسیب‌پذیری‌ها به شکل خودکار رفع گردند مناسب است. این روش اختلالی در عملکرد Exchange ایجاد نمی‌کند. اسکریپت EMOT.ps1 کاملاً خودکار است و از روش‌های مستند قبلی استفاده می‌کند و این اسکریپت چهار فاز عملیاتی را اجرایی می‌کند:

  1. آخرین نسخه‌ی EMOT را بررسی و در صورت وجود دانلود می‌کند.
  2. سرور Exchange با استفاده از اسکنر Microsoft Safety مورد ارزیابی قرار می‌گیرد.
  3. رفع اشکالات شناسایی‌شده توسط اسکنر Microsoft Safety.

نیازمندی‌های اجرای Exchange On-premises:

  1. سرور Exchange به اینترنت دسترسی داشته باشد (نیازمند دانلود  اسکنر Microsoft Safety و ماژول IIS URL Rewrite)
  2. اجرای اسکریپت در Powershell با سطح دسترسی Administrator

نیازمندی‌های سیستم:

  • PowerShell 3 or later
  • IIS 7.5 and later
  • Exchange 2013, 2016, or 2019
  • Windows Server 2008 R2, Server 2012, Server 2012 R2, Server 2016, Server 2019
  • +New If Operating System is older than Windows Server 2016, must have KB2999226 for IIS Rewrite Module 2.1 to work.

تحت چه شرایطی ابزار Exchange On-premises Mitigation نصب شود:

  1. در صورتی که به‌روزسانی و یا mitigation روی سرور برای جلوگیری از اکسپولیت آسیب‌پذیری انجام نشده باشد.
  2. اگر قبلا از روش‌های محدودسازی مانند Exchangemitigations.Ps1 و موارد دیگر استفاده کرده‌ باشید.
  3. درصورتی‌که سیستم به‌روز باشد امّا هیچ‌گونه بررسی روی سیستم صورت نگرفته باشد.

در صورتی که شرایط بالا را دارید، اسکریپت EOMT.PS1 اجرا کنید.

منابع:

  • https://github.com/microsoft/CSS-Exchange/tree/main/Security