Microsoft ha annunciato che la Protezione Estesa di Microsoft sarà attivata per impostazione predefinita sui server che eseguono Exchange Server 2019 a partire da questo autunno, dopo l’installazione dell’Aggiornamento Cumulativo 2023 H2 (CU14).
La Protezione Estesa (EP) è una caratteristica che rafforza l’autenticazione dei server Windows per mitigare gli attacchi di autenticazione relay o “man-in-the-middle” (MitM). “A partire dall’Aggiornamento Cumulativo 2023 H2 per Exchange Server 2019 (alias CU14), EP sarà abilitato per impostazione predefinita quando viene installato CU14 (o versioni successive)”, ha dichiarato oggi il team di Exchange.
Sebbene CU14 abiliterà EP su tutti i server Exchange dopo il deployment, gli amministratori avranno ancora la possibilità di optare per la non partecipazione utilizzando l’installer CU da riga di comando. Microsoft ha fornito le seguenti raccomandazioni, a seconda dell’aggiornamento di sicurezza installato:
- Per chi ha installato l’aggiornamento di sicurezza di agosto 2022 o successivi e ha attivato EP: installare CU14 senza passaggi speciali.
- Per chi ha installato l’aggiornamento di sicurezza di agosto 2022 o successivi, ma non ha ancora attivato EP: installare CU14 lasciando attiva l’opzione ‘Abilita EP’.
- Per chi ha una versione di Exchange Server precedente all’aggiornamento di sicurezza di agosto 2022: Microsoft raccomanda vivamente di aggiornare i server all’ultimo aggiornamento di sicurezza il prima possibile.
Microsoft ha introdotto il supporto EP in Exchange Server con gli aggiornamenti di sicurezza di agosto dell’anno scorso, avvertendo gli amministratori che alcune vulnerabilità richiedevano l’abilitazione di questa funzionalità per bloccare completamente gli attacchi. Da allora, l’azienda ha fornito uno script dedicato per automatizzare l’attivazione o la disattivazione di EP su tutti i server Exchange nell’organizzazione. “Raccomandiamo a tutti i clienti di abilitare EP nel loro ambiente”, ha dichiarato Microsoft.
I server Exchange sono obiettivi di grande valore, come dimostrato dai gruppi di criminalità informatica come FIN7, che ha sviluppato una piattaforma di attacco appositamente progettata per violare i server Exchange. Secondo la società di intelligence sulle minacce Prodaft, la piattaforma Checkmarks di FIN7 è già stata utilizzata per violare le reti di oltre 8.000 aziende.
