Il caso Microsoft Exchange Server.
In che modo i processi ITAM di monitoraggio di software EOL sono utili per ridurre le esposizioni alle vulnerabilità di sicurezza.
Con il termine software EOL (End of Life) si fa riferimento a versioni software per cui è stata prevista la fine del supporto e quindi non saranno più disponibili aggiornamenti di sicurezza.
La visibilità sul software EOL e quindi con supporto terminato è un aspetto da non trascurare, perché alla sua esecuzione sulle reti aziendali possono essere associate delle vulnerabilità che aumentano il rischio di violazione dei dati di un’organizzazione.
I motivi per cui le aziende non riescono ad avere il controllo sul software EOL sono molteplici: acquisti indipendenti a livello multi-dipartimentale con il risultato di avere informazioni frammentarie, documentazione non aggiornata sul ciclo di vita degli asset, ma anche difficoltà nel rincorrere gli annunci dei vendor per pianificare massivamente migrazioni o aggiornamenti.
Ma gli impatti a livello di sicurezza sono sotto gli occhi di tutti: prendiamo come esempio Microsoft Exchange Server nelle sue versioni 2007, 2010, 2013. Secondo una scansione di ShadowServer ci sono quasi 20.000 server di posta elettronica Microsoft Exchange in Europa, USA e Asia che sono vulnerabili a difetti di esecuzione di codice remoto e sono esposti in Internet.
Questi sistemi di posta elettronica, infatti, eseguono una versione del software che attualmente non è più supportata (come si può vedere dal sito di Microsoft per le versioni 2007, 2010 e non ultima la 2013 che ha terminato il supporto l’11 aprile 2023 e per cui Microsoft consiglia caldamente la migrazione a Microsoft 365, Office 365 o Exchange 2019).
Exchange rientra tra prodotti di Microsoft con Fixed Lifecycle Policy, ovvero prodotti che al momento del rilascio hanno già una data di fine supporto. Solitamente si definisce un minimo di cinque anni per il Mainstream Support e un periodo addizionale di Extended Support, termini entro i quali i clienti hanno a disposizione Service Pack da distribuire (correzioni raccolte in “pacchetti”) o indicazioni per sanare le vulnerabilità.
Oltre queste date, Microsoft NON garantisce più aggiornamenti di sicurezza. Con Exchange 2007 la data di fine del supporto esteso risale al 2017, mentre con le sue versioni più “giovani” siamo al 2020 e all’aprile di quest’anno.
Software EOL: i rischi legati ad Exchange
Come si legge su Bleeping Computer, i computer che eseguono le versioni non più supportate del server Exchange sono vulnerabili a ProxyLogon, un problema di sicurezza critico classificato come CVE-2021-26855, che può essere concatenato con un bug meno grave identificato come CVE-2021-27065 per ottenere l’esecuzione di codice remoto.
Nel caso di istanze che hanno raggiunto la fine del supporto, l’unica opzione rimasta è l’aggiornamento a una versione che riceva ancora gli aggiornamenti di sicurezza.
L’impostazione di processi SAM (ne abbiamo parlato anche qui) permette di ottenere dei report di qualità elevata sull’uso in tempo reale del software: tra le informazioni condivise troviamo anche i dati di fine supporto.
In WEGG ci appoggiamo alla tecnologia Snow, il cui database di riconoscimento software si integra ai dati sulle vulnerabilità forniti dal National Vulnerability Database: nelle aziende nostre clienti ci adoperiamo per promuovere il monitoraggio del software in esecuzione sulle reti aziendali in modo da disporre di dati utili alla sicurezza.
Sotto si vede una schermata di dettaglio del prodotto Exchange 2007, che estrae le informazioni di fine supporto direttamente dagli annunci forniti dal vendor:
