روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اکثر کارشناسان امنیت سایبری موافق‌اند که حملات به سرورهای اکسچنج اجتناب‌ناپذیر هستند و خطر نفوذ همیشه بالا باقی می‌ماند. در ماه اکتبر، مایکروسافت پشتیبانی از نسخه ۲۰۱۹ اکسچنج را متوقف کرد و نسخه اشتراکی اکسچنج  تنها راهکار پشتیبانی‌شده برای محیط‌های داخلی از سال ۲۰۲۶ به بعد خواهد بود. با این حال، بسیاری از سازمان‌ها همچنان از نسخه‌های قدیمی‌تر مانند ۲۰۱۶، ۲۰۱۳ و حتی نسخه‌های بسیار قدیمی‌تر استفاده می‌کنند.برای مهاجمان، اکسچنج طعمه چرب و نرمی است. محبوبیت، پیچیدگی، تعداد زیاد تنظیمات و دسترسی از شبکه‌های خارجی باعث می‌شود این سرورها در معرض انواع حملات باشند:

• نفوذ به صندوق‌های پستی از طریق حملات حدس رمز عبور یا فیشینگ هدفمند
• هک حساب‌ها با استفاده از پروتکل‌های احراز هویت قدیمی
• سرقت ایمیل‌ها با افزودن قوانین مخرب جریان ایمیل از طریق سرویس وب اکسچنج
• سوءاستفاده از توکن‌های احراز هویت کارکنان یا جعل پیام‌ها با بهره‌برداری از نقص‌های زیرساخت پردازش ایمیل
• استفاده از آسیب‌پذیری‌ها برای اجرای کد دلخواه و نصب برنامه‌های مخرب روی سرور
• حرکت جانبی در شبکه و بهره‌برداری از سرور برای شناسایی شبکه، میزبانی بدافزار و انتقال ترافیک
• سرقت طولانی‌مدت ایمیل‌ها با استفاده از ابزارهای تخصصی برای اکسچنج

راهکارهای سخت‌سازی[1] سرور اکسچنج

مهاجرت از نسخه‌های پایان پشتیبانی
مایکروسافت و نهادهای امنیتی توصیه می‌کنند به نسخه اشتراکی اکسچنج مهاجرت کنید تا به‌روزرسانی‌های امنیتی به موقع دریافت شود. برای سازمان‌هایی که نمی‌توانند سریع مهاجرت کنند، اشتراک به‌روزرسانی‌های امنیتی طولانی‌مدت برای نسخه‌های ۲۰۱۶ و ۲۰۱۹ قابل خرید است. مهاجرت از نسخه ۲۰۱۶ یا ۲۰۱۹ به نسخه اشتراکی مشابه نصب یک به‌روزرسانی معمولی است.
اگر مجبور به استفاده از نسخه قدیمی هستید، آن را کاملاً از شبکه داخلی و خارجی جدا کنید و جریان ایمیل را از طریق دروازه امنیتی ویژه عبور دهید.

به‌روزرسانی منظم
مایکروسافت دو به‌روزرسانی بزرگ سالانه و وصله‌های امنیتی ماهانه ارائه می‌دهد. مدیران سرور باید فرآیندی برای نصب به‌روزرسانی‌ها بدون تأخیر ایجاد کنند، زیرا مهاجمان به سرعت از آسیب‌پذیری‌های شناخته‌شده سوءاستفاده می‌کنند. برای بررسی سلامت و وضعیت به‌روزرسانی سرور می‌توان از ابزارهایی مانند SetupAssist و Exchange Health Checker استفاده کرد.

اقدامات اضطراری
برای آسیب‌پذیری‌های بحرانی که دارند اکسپلویت می‌شوند، دستورالعمل‌های موقت منتشر می‌شود. سرویس کاهش آسیب اضطراری باید روی سرورهای میل باکس فعال باشد. این سرویس به طور خودکار به سرویس پیکربندی متصل می‌شود و قوانین موقت را برای تهدیدات فوری اعمال می‌کند. این اقدامات می‌توانند سرویس‌های آسیب‌پذیر را سریعاً غیرفعال کرده و درخواست‌های مخرب را با استفاده از قوانین بازنویسی URL در IIS مسدود کنند.

استانداردهای امنیتی پایه
یک مجموعه هماهنگ و یکسان از تنظیمات باید در سراسر سازمان اعمال شود، نه تنها روی سرورهای اکسچنج، بلکه روی کلاینت‌ها و سیستم‌عامل‌های آن‌ها.از آنجا که استانداردهای امنیتی توصیه‌شده برای نسخه‌ها و سیستم‌عامل‌های مختلف متفاوت است، می‌توان از دستورالعمل‌های مایکروسافت و معیارهای بین‌المللی CIS استفاده کرد. آخرین معیار CIS برای نسخه ۲۰۱۹ اکسچنج ایجاد شده، اما برای نسخه اشتراکی نیز قابل استفاده است.

راهکارهای امنیتی
بسیاری از سازمان‌ها به اشتباه روی سرور اکسچنج ابزارهای محافظت پیشرفته نصب نمی‌کنند. برای جلوگیری از سوءاستفاده از آسیب‌پذیری‌ها و اجرای برنامه‌های مخرب، سرور باید با راهکارهای امنیتی مانند سیستم‌های تشخیص و پاسخ نقطه پایانی محافظت شود. اکسچنج با رابط ضدبدافزار (AMSI) ادغام شده تا ابزارهای امنیتی بتوانند رویدادهای سمت سرور را پردازش کنند.محدود کردن اجرای برنامه‌ها می‌تواند حملات را سخت‌تر کند. بیشتر ابزارهای امنیتی پیشرفته این قابلیت را دارند. در صورت استفاده از ابزارهای ویندوزی، می‌توان با App Control for Business یا AppLocker برنامه‌های غیرقابل اعتماد را محدود کرد.

برای محافظت از کارکنان و دستگاه‌های آن‌ها، سرور باید از راهکارهایی مانند Kaspersky Security for Mail Server برای فیلتر کردن ترافیک ایمیل استفاده کند. این ابزارها ویژگی‌هایی مانند احراز هویت فرستنده (SPF، DKIM، DMARC) و محافظت در برابر فیشینگ پیشرفته را فراهم می‌کنند.اگر سیستم کامل تشخیص و پاسخ نصب نشده باشد، حداقل باید آنتی‌ویروس پیش‌فرض فعال باشد و قانون کاهش سطح حمله برای جلوگیری از ایجاد وب‌شل فعال شود. برای جلوگیری از کاهش عملکرد سرور، می‌توان فایل‌ها و پوشه‌های خاصی را از اسکن حذف کرد.

محدود کردن دسترسی مدیران
هکرها اغلب با دسترسی به مرکز مدیریت یا پاورشل اکسچنج، امتیازات خود را افزایش می‌دهند. بهترین روش این است که این ابزارها فقط از چند کامپیوتر مشخص قابل دسترسی باشند و این محدودیت را می‌توان با قوانین فایروال اعمال کرد. قوانین دسترسی مشتری نیز می‌توانند مفید باشند، اما جلوی سوءاستفاده از پاورشل را نمی‌گیرند.

استفاده از پروتکل‌های امن به جای قدیمی
مایکروسافت به تدریج پروتکل‌های شبکه و احراز هویت قدیمی را حذف می‌کند. نصب‌های جدید ویندوز SMBv1 و NTLMv1 را به طور پیش‌فرض غیرفعال می‌کنند و در آینده NTLMv2 نیز حذف خواهد شد. نسخه اشتراکی اکسچنج از CU1 به بعد، NTLMv2  را با Kerberos جایگزین می‌کند. تیم‌های فناوری اطلاعات باید استفاده از پروتکل‌های قدیمی را بررسی کرده و برنامه مهاجرت به روش‌های امن را اجرا کنند.

روش‌های احراز هویت مدرن
از CU13 نسخه ۲۰۱۹، کاربران می‌توانند از ترکیب ورود چندمرحله‌ای، توکن و سرویس احراز هویت استفاده کنند. پس از مهاجرت همه کاربران به احراز هویت مدرن، باید احراز هویت پایه در سرور غیرفعال شود.

فعال کردن محافظت گسترده
این قابلیت از حملات واسطه و سوءاستفاده از توکن‌ها جلوگیری می‌کند. تمام سرورها باید از یک نسخه امن TLS استفاده کنند.

استفاده از نسخه‌های امن TLS و HSTS
تمام سرورها باید نسخه ۱.۲ یا ۱.۳ TLS را استفاده کنند و HSTS فعال باشد تا تمام ارتباط‌ها رمزگذاری شوند.

جدا کردن دامنه دانلود فایل‌ها
این ویژگی از برخی حملات جعل درخواست و سرقت کوکی‌ها جلوگیری می‌کند.

مدیریت نقش‌ها و دسترسی‌ها
اکانت‌های دارای دسترسی مدیریتی به دایرکتوری فعال معمولاً دسترسی به سرور اکسچنج نیز دارند. در این حالت، نفوذ به سرور می‌تواند منجر به نفوذ کامل به شبکه شود. بنابراین جدا کردن دسترسی‌ها و استفاده از مدیریت نقش‌ها ضروری است.

امضای جریان پاورشل
دسترسی از راه دور پاورشل باید محدود باشد و داده‌های ارسال شده به سرور با گواهی محافظت شوند. این تنظیم از نوامبر ۲۰۲۳ به طور پیش‌فرض برای نسخه‌های ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ فعال است.

حفاظت از هدر ایمیل‌ها
مایکروسافت حفاظت پیشرفته‌ای در برابر جعل هدرهای ایمیل P2 FROM ایجاد کرده است. ایمیل‌های مشکوک باید برای بررسی به کارشناسان امنیتی ارسال شوند و این حفاظت نباید غیرفعال بماند.

[1]مجموعه اقداماتی که امنیت سرور مایکروسافت اکسچنج را بالا می‌برند و نفوذ به آن را سخت‌تر می‌کنند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.