טיפול ב- CVE-2024-21410בסביבת ה-Exchange והשפעות התקנת Exchange 2019 CU14
ב-13.02.2024 הוציאה חברת מיקרוסופט את חבילת העדכונים
CU14 ל-Exchange 2019. חבילה זו מספקת פתרון לפגיעות: CVE-2024-21410 זאת ע”י הפעלת שירות Extended Protection ב-IIS של שרת ה-Exchange.
התמיכה של Exchange ב-Extended Protection יצאה כבר בעדכונים שיצאו ל-Exchange 2013/2016/2019 באוגוסט 2022, עדכון זה אפשר את התמיכה של Exchange בשירות, אולם לא הפעיל אותו כברירת מחדל. Exchange 2019 CU14 מפעיל את השירות כברירית מחדל.
בכדי להפעיל או לכבות את שירות Extended Protection ב-IIS של שרתי ה-Exchange ניתן להשתמש בסקריפט Extended Protection Management (ניתן לבצע זאת גם ידנית דרך ממשק הניהול של ה-IIS).
הפעלת שירות Extended Protection מגנה על השרת בין היתר מהתקפות מסוג Man-in-the-Middle, יחד עם זאת הפעלת שירות זה בשרתי ה-Exchange עלולה במקרים רבים לגרום להשבתה ועל כן חשוב להבין את תנאי הקדם לעבודה עם שירות זה:
- במידה ויש רכיב שמבצע Reverse Proxy ל-Exchange (Load Balancer פנימי או כל שירות שמחצין את ה-Exchange לרשת האינטרנט) נדרש לוודא כי:
- לא מופעל SSL Offload – כלומר ה-Reverse Proxy לא פונה ב-HTTP אל ה-Exchange ( מספיק לבדוק שבתיקיות של Exchange ב-IIS מוגדר Require SSL ומכן ניתן להסיק כי SSL Offload לא מוגדר)
- התעודה הדיגיטלית שמוגדרת ב-Reverse Proxy הינה אותה תעודה שמותקנת בשרתי הדואר ומשמשת את ה-IIS. במידה ולמשל בשרתי הדואר ישנו שימוש בתעודה פנימית וב-Reverse Proxy ישנה תעודה חיצונית מצב זה לא יאפשר להפעיל Extended Protection. במצב זה ניתן לבצע תהליך של החלפת התעודה בשרתי ה-Exchange והתאמת ה-URLs של ה-Exchange Virtual Directories לתעודה זאת.
- נדרש להתקין את חבילת התיקונים CU14 בכל שרתי ה-Exchange 2019 בארגון.
- במידה ויש בארגון גם שרתי Exchange 2013/2016 נדרש לוודא התקנת העדכון ל-Exchange מאוגוסט 2022 ומעלה בשרתים אלו והפעלת Extended Protection.
- במידה ויש שימוש בשירות Public Folders נדרש לוודא כי הוא לא מאוחסן בשרתי Exchange 2013.
- נדרש לוודא כי כל שרתי ה-Exchange בארגון תומכים באותה גרסת TLS (ניתן להיעזר בסקריפט ה-HealthChecker.ps1 או ב-Extended Protection Management עם הפרמטר PrerequisitesCheckOnly)
- במידה ושרתי ה-Exchange עובדים בתצורת Modern Hybrid מול Exchange Online (מדובר בתצורה ההיברידית הפחות נפוצה) לא ניתן להפעיל Extended Protection בשרתי ה-Exchange מולם מוגדרת התצורה ההיברידית.
במידה ונוצרת בעיה כלשהיא לאחר התקנת CU14 או שישנה בעיה לעמוד באחת מהדרישות הנ”ל ניתן תמיד לבטל את ה- Extended Protection. כמו כן ניתן להפעיל את ה-Extended Protection גם ללא התקנת CU14 וזאת בתנאי שבשרת מותקן עדכון Exchange החל מאוגוסט 2022. ביטול ה-Extended Protection ישמר את הסיכון הקיים בפגיעות: CVE-2024-21410
ניתן לבצע את ההתקנה של ה-CU14 כך שמלכתחילה לא יפעיל את ה- Extended Protection ע”י התקנה באמצעות הפקודה: Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /Mode:Upgrade /DoNotEnableEP
למידע נוסף ניתן לפנות אלינו בצור קשר.
כותב: Noam Hirsh, CTO, UBTECH