Oltre 350.000 server di Exchange sono ancora senza patch

Era stata rilasciata diversi mesi fa ma la sua adozione è stata lenta.

Oltre 350.000 server di Exchange sono ancora senza patch

Oltre 350,000 tra tutti i server Microsoft Exchange potrebbero non aver ancora adottato la patch contro la vulnerabilità dell’esecuzione remota del codice post-autenticazione CVE-2020-0688.
La conseguenza? Un forte impatto su tutte le versioni supportate di Microsoft Exchange Server.
La soluzione era presente all’interno della patch rilasciata da Microsoft il giorno 11 febbraio ma sono poche le aziende che l’hanno effettivamente applicata ai propri server.

Microsoft ha incoraggiato gli amministratori ad applicare la patch il più presto possibile, etichettandola all’interno dell’exploitability index assessment come “Exploitation More Likely“, accennando alla vulnerabilità e rilevando che potrebbe essere un bersaglio invitante per i mal intenzionati.

Microsoft ha inoltre dichiarato di anticipare i futuri attacchi alla vulnerabilità della remote code execution: per questo è ancora più importante installare la patch!!

Gli attacchi ai server di posta Exchange vulnerabili sono iniziati a febbraio e sono avvenuti dopo il rilascio di un report tecnico che illustrava nel dettaglio come funzionasse il bug.

Ora, quasi due mesi dopo, i ricercatori Rapid7 hanno usato il loro Project Sonar per scansionare Internet ed hanno rilevato che almeno l’82,5% dei 433.464 server Exchange sono vulnerabili al CVE-2020-0688.
A peggiorare le cose, c’è il fatto che molti dei server contrassegnati da Rapid7 come sicuri dagli attacchi risulterebbero comunque vulnerabili poichè molti update al server non includono l’update ai build number.

Ci sono due sforzi fondamentali che gli amministratori di Exchange e i team di sicurezza informatica devono intraprendere: verificare l’implementazione dell’aggiornamento e verificare la presenza di segnali di compromissione“, ha spiegato Tom Sellers, senior manager di Rapid7 Labs.
Gli account utente compromessi e gli account utilizzati negli attacchi contro i server Exchange possono essere rilevati controllando i Windows Event ed i IIS logs per porzioni di payload codificati, incluso sia il testo “Invalid viewstate” che la stringa __VIEWSTATE e __VIEWSTATEGENERATOR per le richieste a un percorso sotto /ECP.

Microsoft afferma che, poiché non esistono fattori attenuanti per questa vulnerabilità, è estremamente importante applicare la patch ai server prima che gli hacker possano individuarli e compromettere l’intera rete.


Le informazioni presenti in questo post, sono prese dall’articolo: A critical flaw in 350,000 Microsoft Exchange remains unpatched.

Problema con Office 365 / Exchange Hybrid Wizard – “Content was blocked because it was not signed by a valid security certificate”

Ipotizziamo il seguente scenario:

Problema

Dall’Interfaccia di Amministrazione di Exchange, eseguite il seguente comando di configurazione Ibrida.

Exchange Admin Center: setup hybrid configuration

Vi verrà richiesto di effettuare il login a Office 365.

Login Office 365

Immettete le vostre credenziali.

Accesso a Office 365: inserire credenziali

A questo punto compare il seguente messaggio.

Impossibile accedere a Office 365: contenuto bloccato

Non potete perciò completare la configurazione ibrida.

Cosa fare?

Potete risolvere il problema installando un certificato.
Seguite questi semplici passaggi:

1. Cliccate sull’Icona del Report di Sicurezza (il simbolo del lucchetto che trovate nella barra degli indirizzi).

2. Cliccate View Certificates.

Office 365-report di sicurezza: vedi certificati

3. Cliccate Install Certificate.

Office 365: installazione certificati

4. Selezionate Local Machine e cliccate su Next.

Installazione certificato: selezionare local machine

5. Cliccate su Next.

Certificate Import Wizard: cliccate su Next

6. Cliccate su Finish.

Certificate Import Wizard: cliccate su Finish

7. Cliccate su Ok.

Certificate Import Wizard: cliccate su Ok

8. Riavviate Internet Explorer e l’Interfaccia di Amministrazione di Exchange.

9. Click Enable sull’Hybrid setup

10. Effettuate il Login su Office 365

A questo punto sarete re-indirizzati alla pagina Hybrid setup.

Exchange Admin Center: Hybrid setup

Una volta effettuate queste operazioni, quando cliccherete su Enable si avvierà l’Exchange Hybrid setup wizard.

Setup Exchange Hybrid

Nota: Se al punto 3 non compare l’opzione “Install Certificate” basta mettere il sito https://outlook.office365.com nei trusted sites:

Office 365 Install Certificate

Login Exchange Online da Exchange 2013 ECP – Errore critico

Scenario

• Configurazione ibrida Exchange 2013 / Office 365
• Selezionando un utente attestato su Exchange 2013 e cliccando su migra a Exchange Online compare la scghermata di Login a Office 365
• Cliccando su “connect at office 365” compare il seguente errore:

Exchange 2013 Unable to set propery during office 365 logon

Workaround

• Apri Exchange ECP
• Clicca su “hybrid”
• Clicca su Modify
• Clicca su “sign in to Office 365”, “sign in” e fornisci le credenziali di accesso a Office 365.

A questo punto la migrazione delle mailbox funzionerà regolarmente

Problema di routing delle mail da Exchange 2013 a Exchange 2007

Durante una recente migrazione da Exchange 2007 a Exchange 2013 abbiamo riscontrato che le mail inviate dagli utenti attestati su Exchange 2013 non venivano consegnate agli utenti attestati su Exchange 2007. Tutte le altre combinazioni (mail da Exchange 2007 verso utenti esterni, da Exchange 2007 a Exchange 2013 e da Exchange 2013 a utenti esterni) funzionavano regolarmente.

I messaggi rimanevano nella coda di Exchange 2013 che segnalava il seguente errore:

The message is stuck in SMTP Relay to Mailbox Delivery Group, and it receives a 421 4.4.2 Connection dropped due to socket error

Per risolvere la problematica abbiamo aggiunto la seguente chiave nel registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Value name: SendTrustedIssuerList
Value type: REG_DWORD
Value data: 0 (False)

NOTA: Se la chiave non è presente il sistema la imposta il valore a 1.

Una volta aggiunta la chiave abbiamo riavviato il servizio Exchange Transport su Exchange 2007.

Export-PublicFolderStatistics – Errore You cannot call a method on a null-valued expression

Il processo di migrazione delle Public Folder da Exchange 2007 a Exchange 2013 prevede l’esecuzine di vari passaggi descritti in questo articolo Microsoft.

Tra i vari passaggi ad un certo punto è necessario eseguire il cmdlets:

.\Export-PublicFolderStatistics.ps1 PFnameToSize.csv servername

Abbiamo riscontrato un problema con il file Export-PublicFolderStatistics.ps1 copiato dall’Exchange 2013 scripts folder: durante l’esecuzione compare l’errore:

Errore You cannot call a method on a null-valued expression

Impostazioni di navigazione in un classico team site

e il file non viene correttamente generato.

Per risolvere la problematica basta editare il file Export-PublicFolderStatistics.ps1, cercare la stringa “$_.MapiIdentity” e sostituirla con “$_.Identity