البريد الإلكتروني
يجادل عدد قليل من خبراء الأمن الإلكتروني في أن التعرض للهجمات التي تستهدف خوادم Microsoft Exchange باتت أمرًا لا مفر منه، ويؤكدون أن خطر الاختراق يظل مرتفعًا بشكل مستمر. وفي أكتوبر، أوقفت Microsoft دعم Exchange Server 2019، مما جعل Exchange Server Subscription Edition (Exchange SE) الحل المحلي الوحيد المدعوم لعام 2026. وعلى الرغم من ذلك، لا تزال العديد من المؤسسات تُشغل Exchange Server 2016 و2013 وحتى إصدارات أقدم من ذلك.
يشكل Exchange هدفًا مغريًا للغاية للمهاجمين. وتجعله شهرته وتعقيده ووفرة إعداداته، والأهم من ذلك، إمكانية الوصول إليه من الشبكات الخارجية، عرضة لمجموعة واسعة من الهجمات:
- التسلل إلى صناديق البريد عبر هجمات نشر كلمة المرور أو التصيّد الاحتيالي الموجَّه
- اختراق الحسابات عبر بروتوكولات المصادقة القديمة
- سرقة رسائل بريد إلكتروني معينة عن طريق حقن قواعد تدفق البريد الخبيث عبر Exchange Web Services
- الاستيلاء على الرموز المميزة لمصادقة الموظفين أو تزوير الرسائل عبر استغلال العيوب في البنية التحتية لمعالجة البريد في Exchange
- استغلال الثغرات الأمنية في Exchange لتنفيذ تعليمات برمجية عشوائية (نشر أغلفة الويب) على الخادم
- الحركة الجانبية واختراق الخادم، حيث يصبح خادم Exchange نقطة انطلاق لاستطلاع الشبكة واستضافة البرامج الضارة وتوجيه الحركة
- تسريب رسائل البريد الإلكتروني على المدى الطويل عبر عمليات زرع برامج متخصصة لخوادم Exchange
لفهم تعقيد وتنوع هجمات Exchange بشكل حقيقي، من المفيد مراجعة الأبحاث المتعلقة بتهديدات GhostContainer وOwowa وProxyNotShell وPowerExchange.
إن جعل اختراق Exchange أصعب على المهاجمين والحد من تأثير أي هجوم ناجح ليس مستحيلاً، لكنه يتطلب مجموعة واسعة من التدابير- تتراوح بين تغييرات بسيطة في الإعدادات وعمليات ترحيل لبروتوكولات المصادقة التي تتطلب جهدًا كبيراً. وقد نُشر مؤخرًا استعراض مشترك لتدابير الدفاع ذات الأولوية من قبل وكالة الأمن الإلكتروني والبنية التحتية (CISA) ومنظمين آخرين للأمن الإلكتروني. إذن، كيف يبدأ تحصين خادم Exchange المحلي لديك؟
الترحيل بعيدًا عن الإصدارات التي توقف دعمها
توصي كل من Microsoft ووكالة CISA بالانتقال إلى Exchange SE لتلقي التحديثات الأمنية في الوقت المناسب. وبالنسبة للمؤسسات غير القادرة على إجراء هذا التحويل على الفور، يتوفر اشتراك مدفوع في تحديثات الأمان الممتدة (Extended Security Updates – ESU) للإصدارين 2016 و2019. وتشدد Microsoft على أن الترقية من إصدار 2016 أو 2019 إلى Exchange SE تضاهي في تعقيدها تثبيت تحديث تراكمي عادي.
إذا احتجت لأي سبب كان إلى إبقاء إصدار غير مدعوم قيد التشغيل، فيجب عزله تمامًا عن كل من الشبكات الداخلية والخارجية. ويجب توجيه كل تدفقات البريد عبر بوابة أمان البريد الإلكتروني.
التحديثات المنتظمة
تُصدر Microsoft تحديثين تراكميين سنويًا، إلى جانب إصلاحات الأمان العاجلة الشهرية. وتتمثل إحدى المهام الرئيسية لمسؤولي Exchange في وضع عملية لنشر هذه التحديثات دون تأخير، نظرًا لأن المهاجمين يسارع إلى تسليح الثغرات الأمنية المعروفة. ويمكنك تتبع جدول الإصدار ومحتويات هذه التحديثات على صفحة Microsoft الرسمية. وللتحقق من صحة حالة تثبيت Exchange وتحديثه، استخدم أدوات مثل SetupAssist وExchange Health Checker.
التخفيفات في حالات الطوارئ
بالنسبة للثغرات الأمنية الحرجة التي يجري استغلالها بنشاط، يتم عادةً نشر إرشادات التخفيف المؤقتة في مدونة Exchange وعلى صفحة التخفيف من مخاطر Exchange. ويجب تمكين خدمة التخفيف في حالات الطوارئ (EM) على خوادم Exchange Mailbox لديك. ويتصل Exchange Mailbox تلقائيًا بخدمة تكوين Office لتنزيل قواعد التخفيف وتطبيقها على التهديدات العاجلة. ويمكن لهذه الإجراءات تعطيل الخدمات المعرضة للاختراق بسرعة وحظر الطلبات الضارة باستخدام قواعد إعادة كتابة عنوان URL في IIS.
خطوط الأساس الآمنة
يجب تطبيق مجموعة موحدة من التكوينات، المُحسّنة لتلبية احتياجات المؤسسة، على مستوى المؤسسة بأكملها؛ ولا يقتصر هذا التطبيق على خوادم Exchange فحسب، بل يشمل أيضًا برامج عملاء البريد عبر جميع الأنظمة الأساسية وأنظمة التشغيل الأساسية الخاصة بها.
نظرًا لاختلاف خطوط أسس الأمان الموصى بها لإصدارات نظام التشغيل وExchange المختلفة، يشير دليل CISA إلى معايير CIS المرجعية الشائعة والمتاحة مجانًا وتعليمات Microsoft. وتم إنشاء أحدث معيار مرجعي لوكالة CIS لخادم Exchange 2019، لكنه ينطبق أيضًا بشكل كامل على Exchange SE – نظرًا لأن إصدار Subscription Edition الحالي لا يختلف في خياراته القابلة للتكوين عن Exchange Server 2019 CU15.
حلول الأمان المخصصة
من الأخطاء الفادحة التي ترتكبها العديد من المؤسسات عدم وجود عملاء EDR وEPP على خوادم Exchange الخاصة بهم. ولمنع استغلال الثغرات الأمنية وتنفيذ أغلفة الويب، يحتاج الخادم إلى الحماية بواسطة حل أمان مثل Kaspersky Endpoint Detection and Response. ويتكامل Exchange Server مع واجهة فحص البرامج الضارة (AMSI)، التي تتيح لأدوات الأمان معالجة الأحداث على جانب خادم التكامل بشكل فعال.
يمكن للقائمة البيضاء للتطبيقات أن تعيق بشكل كبير المهاجمين الذين يحاولون استغلال ثغرات Exchange. وتأتي هذه الميزة كخاصية قياسية في معظم حلول حماية النقاط الطرفية المتقدمة (EPP). ومع ذلك، إذا كنت بحاجة إلى تطبيقها باستخدام أدوات Windows الأصلية، يمكنك تقييد التطبيقات غير الموثوقة عبر أدوات مثل App Control for Business أو AppLocker.
لحماية الموظفين وأجهزتهم، يجب على الخادم استخدام حل مثل Kaspersky Security for Mail Server لتصفية حركة البريد. ويعالج هذا الحل العديد من التحديات التي تفتقر إليها أدوات Exchange المحلي الافتراضي – مثل مصادقة المرسل عبر بروتوكولات SPF وDKIM وDMARC، أو الحماية من رسائل البريد الإلكتروني العشوائي والتصيّد الاحتيالي الموجه المتطورة.
إذا لم يتم نشر حل EDR كامل لأي سبب من الأسباب على الخادم، فمن الضروري على الأقل تفعيل برنامج مكافحة الفيروسات الافتراضي، والتأكد من تمكين قاعدة “منع إنشاء غلاف الويب للخوادم” الخاصة بتقليل مساحة الهجوم (ASR).
لمنع تدهور أداء الخادم عند تشغيل برنامج مكافحة الفيروسات الافتراضي، توصي Microsoft باستثناء ملفات ومجلدات معينة من عمليات الفحص.
تقييد الوصول الإداري
غالبًا ما يرفع المهاجمون الامتيازات عن طريق إساءة استخدام الوصول إلى مركز إدارة Exchange (EAC) والاتصال عن بُعد عن طريق PowerShell. وتملي أفضل الممارسات إتاحة الوصول إلى هذه الأدوات فقط من خلال عدد ثابت من محطات العمل ذات الوصول المميز (PAWs). ويمكن فرض ذلك عبر قواعد جدار الحماية على خوادم Exchange نفسها، أو باستخدام جدار الحماية. ويمكن لقواعد وصول العميل المضمنة في Exchange أيضًا توفير فائدة محدودة في هذا السيناريو، لكنها لا تستطيع مواجهة إساءة استخدام PowerShell.
اعتماد Kerberos وSMB بدلاً من NTLM
تعمل Microsoft تدريجيًا على التخلص التدريجي من بروتوكولات الشبكة والمصادقة القديمة. وتُعطّل عمليات تثبيت Windows الحديثة بروتوكولي SMBv1 وNTLMv1 بشكل فتراضي، ومن المقرر أن تعمل الإصدارات المستقبلية على تعطيل NTLMv2. وبدءًا من التحديث التراكمي الأول لخادم Exchange SE، سيتم استبدال NTLMv2 ليحل محله Kerberos، الذي يتم تنفيذه باستخدام MAPI عبر HTTP/ كبروتوكول المصادقة الافتراضي.
يجب على فرق تكنولوجيا المعلومات والأمان إجراء تدقيق شامل لاستخدام البروتوكول القديم داخل بنيتها التحتية، ووضع خطة للترحيل إلى طرق المصادقة الحديثة الأكثر أمانًا.
طرق المصادقة الحديثة
بدءًا من التحديث التراكمي رقم 13 لخادم Exchange 2019، يمكن للعملاء الاستفادة من مزيج من بروتوكولات OAuth 2.0 وMFA وADFS لتحقيق مصادقة خادم قوية – إطار عمل يُعرف باسم المصادقة الحديثة أو المصادقة الحديثة للاختصار. وبهذه الطريقة، لا يمكن للمستخدم الوصول إلى علبة بريد إلا بعد إكمال المصادقة متعددة العوامل (MFA) بنجاح عبر ADFS، ليقوم خادم Exchange بعد ذلك باستقبال رمز وصول صالح من خادم ADFS. وبمجرد ترحيل جميع المستخدمين إلى المصادقة الحديثة، يجب تعطيل المصادقة الأساسية على خادم Exchange.
تمكين الحماية الموسعة
توفر الحماية الموسعة (EP) دفاعًا ضد هجمات ترحيل بروتوكول NTLM والخصم في الوسط والتقنيات المماثلة. وتعزز هذه الخاصية أمان طبقة النقل الآمنة (TLS) باستخدام رمز ربط القناة (CBT). وإذا سرق مهاجم بيانات الاعتماد أو رمزًا مميزًا، وحاول استخدامها في جلسة TLS مختلفة، فسوف ينهي الخادم الاتصال. ولتمكين الحماية الموسعة، يجب تكوين جميع خوادم Exchange لاستخدام الإصدار نفسه من TLS.
تكون الحماية الموسعة نشطة بشكل افتراضي في عمليات تثبيت الخادم الجديدة التي تبدأ بالتحديث التراكمي رقم 14 لخادم Exchange 2019.
إصدارات TLS الآمنة
يجب تكوين البنية التحتية للخادم بأكملها، بما في ذلك جميع خوادم Exchange، لاستخدام إصدار TLS نفسه: 1.2 أو من الناحية المثالية، 1.3. وتوفر Microsoft إرشادات مفصلة حول التكوين الأمثل وعمليات التحقق الضرورية من المتطلبات الأساسية. ويمكنك استخدام البرنامج النصي لأداة التحقق من السلامة للتحقق من صحة وتوحيد هذه الإعدادات.
HSTS
لضمان حماية جميع الاتصالات بواسطة بروتوكول TLS، يجب عليك أيضًا تكوين ميزة أمان نقل HTTP الصارم (HSTS). ويساعد هذا على منع بعض هجمات الخصم في المنتصف (AitM). وبعد تطبيق تغييرات تكوين Exchange Server الموصى بها من قبل Microsoft، سيتم إجبار جميع الاتصالات بخدمة Outlook على الويب (OWA) ومركز إدارة Exchange (EAC) على استخدام التشفير.
نطاقات التنزيل
توفر ميزة ” نطاقات التنزيل” حماية ضد بعض هجمات تزوير الطلبات عبر المواقع وسرقة ملفات تعريف الارتباط، وذلك عبر نقل عمليات تنزيل المرفقات إلى نطاق مختلف عن النطاق الذي يستضيف خدمة Outlook على الويب للمؤسسة. ويفصل هذا تحميل واجهة المستخدم (UI) وقائمة الرسائل عن تنزيل مرفقات الملفات.
نموذج الإدارة المستند إلى الدور
يطبّق Exchange Server نموذج التحكم بالوصول المستند إلى الدور (RBAC) للمستخدمين والمسؤولين ذوي الامتيازات. وتُشير وكالة CISA إلى أن الحسابات ذات امتيازات مسؤول AD غالبًا ما تُستخدم أيضًا لإدارة Exchange. وفي هذا التكوين، يؤدي اختراق خادم Exchange على الفور إلى اختراق كامل للنطاق. لذا، من الضروري استخدام الأذونات المقسّمة ونموذج RBAC لفصل إدارة Exchange عن الامتيازات الإدارية الأخرى. ويقلل هذا من عدد المستخدمين والمسؤولين الذين يتمتعون بامتيازات مفرطة.
توقيع تدفق PowerShell
يستخدم المسؤولون في كثير الأحيان البرامج النصية لأجل PowerShell المعروفة باسم أوامر cmdlets لتعديل الإعدادات وإدارة خوادم Exchange عبر Exchange Management Shell (EMS). من الناحية المثالية، يجب تعطيل الوصول إلى PowerShell عن بُعد. وعند تمكينه، يجب حماية تدفقات بيانات الأوامر المرسلة إلى الخادم باستخدام شهادات. واعتبارًا من نوفمبر 2023، تم تمكين هذا الإعداد افتراضيًا في إصدارات Exchange 2013 و2016 و2019.
حماية رؤوس رسائل البريد الإلكتروني
في نوفمبر 2024، قدمت Microsoft حماية معززة ضد الهجمات التي تنطوي على تزوير رؤوس رسائل البريد الإلكتروني P2 FROM، مما جعل رسائل البريد الإلكتروني تبدو للضحايا وكأنها مرسلة من جهة موثوقة. وتحدد قواعد الاكتشاف الجديدة الآن علامة على رسائل البريد الإلكتروني التي يُحتمل فيها التلاعب بهذه الرؤوس. ويجب ألا يقوم المسؤولون بتعطيل هذه الحماية، ويجب عليهم إعادة توجيه رسائل البريد الإلكتروني المشبوهة التي تحمل رأسًا من نوع X-MS-Exchange-P2FromRegexMatch إلى خبراء الأمان لإجراء مزيد من التحليل.
