Название базовой системы (платформы): | Microsoft Office |
Разработчики: | Microsoft |
Дата последнего релиза: | 2022/08/10 |
Технологии: | Офисные приложения, Почтовый сервер |
2023
ФСТЭК предупредил о новой уязвимости в Microsoft Exchange, опасность касается более 77 тыс. серверов в России
Сервис предупреждения о появлении новых уязвимостей ФСТЭК опубликовал предупреждение об обнаружении опасной уязвимости BDU:2023-07515 (номер CVE не присвоен) в достаточно популярном почтовом продукте Microsoft Exchange. Она связана с декодированием (десериализацией) ненадежных данных, с помощью чего внешние злоумышленники могут удалённо, выполнить произвольный код с привилегиями SYSTEM. По классификации CVSS уровень уязвимости достаточно низкий – всего 7,5 из 10, однако опасность в очень большом распространении уязвимого продукта.
Собственно, указанная опасная уязвимость входит в группу из четырех, которые были обнаружены Петром Базыдло из подразделения Zero Day Initiative (ZDI) компании Trend Micro ещё 9 сентября. Он собрал информацию о них и передал производителю, однако представители Microsoft, хотя и подтвердили наличие уязвимостей, но ответили:
Мы исследовали эту проблему и пришли к выводу, что она не требует немедленного обслуживания. Мы передали ваш отчет команде, ответственной за обслуживание продукта, и они рассмотрят возможное исправление уязвимости в будущем, при необходимости предприняв соответствующие действия для обеспечения защиты клиентов. |
Представители компании объяснили свою позицию тем, что указанные уязвимости не эксплуатируются злоумышленниками. К тому же, по словам Microsoft уязвимость BDU:2023-07515 якобы уже была исправлена в августовских обновлениях безопасности. Однако по словам главы отдела по борьбе с угрозами ZDI Дастина Чайлдса ошибка была исправлена только для конфигурации по умолчанию, а в некоторых других – ее все-таки можно эксплуатировать.
На мой взгляд, это означает, что многие серверы Exchange по-прежнему уязвимы. И теперь их администраторы думают, что они в безопасности, хотя это может быть и не так, – заметил он. |
В частности, по данным сервиса анализа уязвимостей Netlas.io количество серверов Microsoft Exchnge в мире, которые могут быть атакованы с помощью BDU:2023-07515, просто огромно – почти 2 млн штук. Только в России таких серверов насчитывается более 77,3 тыс., и при этом наша страна находится только на 6 месте, пропустив вперед США (430 тыс. уязвимых серверов), Германию (382 тыс.), Францию (137 тыс.), Австрию (78,7 тыс.) и Нидерланды (77,5 тыс.). При этом злоумышленники очень любят уязвимости в Exchange, поскольку этот продукт установлен на большом количестве открытых адресов, постоянно подключен к Интернет и плохо администрируется – даже известные уязвимости исправляются через очень длительное время.
Таким образом, потребность в защите от эксплуатации данной уязвимости существует огромная. При этом сам Петр Базыдло в ответ на риторику Microsoft порекомендовал в качестве единственной эффективной стратегии смягчения последствий ограничить доступ к серверам Exchange. Впрочем, ФСТЭК также недалеко ушла. Ее рекомендации следующие: минимизировать пользовательские привилегии; отключить или полностью удалить неиспользуемые учётные записи пользователей; использовать средств межсетевого экранирования для ограничения возможности удалённого доступа; обеспечить ограничение доступа из внешних сетей к уязвимым серверам Microsoft Exchange; а для подключения к ним извне использовать виртуальные частные сетей (VPN).
2022
Выявление уязвимости, через которую распространяются вирусы-вымогатели
В конце декабря 2022 года исследователи в области информационной безопасности из компании CrowdStrike сообщили об обнаружении нового набора эксплойтов ProxyNotShell для атак на серверы Microsoft Exchange.
Вредоносное программное обеспечение получило название OWASSRF. Расследование показало, что за организацией нападений стоят операторы вымогателя Play. Эксплойты позволяют злоумышленникам выполнять произвольный программный код на уязвимых серверах через Outlook Web Access (OWA).
В случае традиционной цепочки эксплойтов ProxyNotShell атака выполняется в два этапа. Сначала киберпреступники эксплуатируют уязвимость CVE-2022-41040, позволяющую получить доступ к серверной части для произвольных URL-адресов. Этот тип уязвимости известен как подделка запроса на стороне сервера (SSRF). В случае ProxyNotShell целевой серверной службой является сервис PowerShell. На втором этапе используется брешь CVE-2022-41082 для выполнения произвольных команд. Новая тактика, о которой сообщили специалисты CrowdStrike, минует этап с эксплуатацией дыры CVE-2022-41040.
В каждом случае взлома CrowdStrike просмотрела соответствующие журналы и зафиксировала отсутствие признаков использования CVE-2022-41040 для первоначального доступа. Вместо этого оказалось, что соответствующие запросы были сделаны непосредственно через Outlook Web Access , что указывает на ранее неизвестный метод эксплойта для Exchange, — говорят эксперты. |
Отмечается, что киберпреступники, вероятно, эксплуатируют брешь CVE-2022-41080. Этой уязвимости Microsoft присвоила статус критической: она позволяет удалённо повышать привилегии на серверах Exchange. Ранее сообщалось, что хакеры не используют данную дыру, но теперь выяснилось, что это не так: эксплойты для уязвимости уже активно применяются в реальных атаках.[1]
Взлом российских организаций через уязвимость
С августа 2022 г. десятки российских организаций были взломаны через уязвимость сервера рабочей почты Microsoft Exchange, об этом 21 ноября 2022 года сообщили специалисты компании BI.ZONE. Подробнее здесь.
Для исправления критических уязвимостей потребуется включить расширенную защиту серверов
Критические уязвимости в Exchange (CVE-2022-21980 , CVE-2022-24477 и CVE-2022-24516) позволяют злоумышленникам повышать привилегии. И хотя команда Exchange Server не заметила каких-либо активно используемых эксплойтов для этих уязвимостей, администраторам рекомендуется установить обновления с исправлениями как можно скорее. Об этом стало известно 10 августа 2022 года.
Администраторам нужно будет вручную включать расширенную защиту затронутых серверов.
По словам экспертов Microsoft, установки обновлений недостаточно. Еще необходимо вручную включить расширенную защиту (EP), чтобы хакеры точно не могли проникнуть на уязвимые серверы.Станислав Обухов, Т1 Иннотех: Автоматизация меняет функцию закупок
Расширенная защита — это функция для защиты от атак "человек посередине` (MITM), в которых злоумышленник перехватывает учетные данные клиента и использует их для доступа к защищенным ресурсам на целевом сервере клиента.
Специалисты Microsoft заострили внимание на том, что включить EP можно только на определенных версиях Exchange (с полным списком необходимых условий можно ознакомиться в документации Exchange).
Для включения расширенной защиты Microsoft выпустила скрипт. Однако перед использованием скрипта администраторам рекомендуется проанализировать свои среды и изучить документацию к скрипту.
Обновления безопасности доступны для следующих версий Exchange Server:
- Exchange Server 2013 CU23 ;
- Exchange Server 2016 CU22 и CU23 ;
- Exchange Server 2019 CU11 и CU12 .
Поскольку эксперты Microsoft считают, что все три уязвимости могут быть эксплуатированы злоумышленниками, администраторам рекомендуется как можно скорее применить обновления[2].
Эксплойт IceApple заражает сервера Microsoft Exchange
12 мая 2022 года стало известно, что исследователи безопасности обнаружили очередную платформу для последующей эксплуатации под названием IceApple , развернутую на серверах Microsoft Exchange.
IceApple является изощренным эксплойтом с возможностью сдерживания долгосрочных целей при целенаправленных атаках. Фреймворк был обнаружен в конце 2021 года командой по поиску угроз OverWatch CrowdStrike и находится в стадии разработки. Исследователи наблюдали развертывание IceApple после получения злоумышленником доступа к сети, принадлежащей организациям в технологическом, академическом и правительственном секторах деятельности.
По словам исследователей, IceApple был развернут на экземплярах Microsoft Exchange Server, но он также может работать в веб-приложениях Internet Information Services (IIS). Платформа основана на .NET и поставляется с 18 модулями с определенными функциями для обнаружения соответствующих компьютеров в сети, кражи учетных данных, удаления файлов и каталогов или извлечения ценных данных. Команда OverWatch CrowdStrike предполагает участие Китая в кибератаках IceApple.
Разработчик IceApple хорошо разбирается в программном обеспечении IIS. На это указывает наличие модуля недокументированных полей, которые не предназначены для сторонних разработчиков.
«Детальный анализ модулей позволяет предположить, что IceApple был разработан злоумышленником с глубокими знаниями о внутренней работе программного обеспечения IIS», - сказали эксперты CrowdStrike OverWatch. |
Модули IceApple работают в памяти и не привлекают внимания к скомпрометированному хосту для уменьшения следа криминалистической экспертизы. Также для поддержания скрытности эксплойт проникает в скомпрометированную среду путем создания файлов сборки, которые, возможно, временно генерируются Microsoft IIS сервером.
«На первый взгляд они кажутся ожидаемыми временными файлами IIS, созданными как часть процесса преобразования исходных файлов ASPX в .NET для загрузки IIS», - сказали исследователи. |
Файлы были созданы не случайным образом и загружены способом, не типичным для Microsoft Exchange и IIS. Облачное решение безопасности CrowdStrike Falcon вызвало предупреждение при развертывании клиентского модуля Microsoft OWA (Outlook on the web) в .NET среде и позволило обнаружить IceApple.
Возможно, в будущем разработчик добавит в IceApple больше модулей и адаптирует фреймворк к технологиям обнаружения.
Команда не предоставила точное число жертв эксплойта, но сообщила о вторжениях в нескольких средах пользователей и порекомендовала устанавливать последние обновления всех веб-приложений для защиты от возможных угроз IceApple.[3]
Операторы IcedID распространяют вредонос через взломанные серверы
29 марта 2022 года стало известно, что киберпреступники используют скомпрометированные серверы Microsoft Exchange для рассылки спама по электронной почте и последующего заражения компьютерных систем вредоносным ПО IcedID.
IcedID - бэкдор, предоставляющий возможность устанавливать другие вредоносные программы, в том числе вымогатели. Жертвы получают зашифрованный ZIP-файл в качестве вложения с паролем в тексте электронной почты и инструкциями по открытию содержимого архива. При этом запускается загрузчик, который развертывает IcedID на компьютере.
ИБ-специалисты из FortiGuard Labs обнаружили электронное письмо с вредоносным ZIP-файлом, отправленное украинской топливной компании. В ходе данной кампании также использовались скомпрометированные серверы Microsoft Exchange. Вредоносная активность была выявлена в марте нынешнего года, преступники нацелены на энергетические, медицинские, юридические и фармацевтические организации.
Атака начинается с фишингового электронного письма, которое содержит сообщение о важном документе в прикрепленном защищенном паролем архиве .zip и пароль в теле письма. Обычно это необходимо, чтобы автоматические сканеры не могли видеть содержимое ZIP-архива. Кроме того, злоумышленники используют перехват переписки для большей убедительности. Использование перехвата переписки - метод социальной инженерии, который может увеличить количество удачных попыток фишинга.
В то время как в предыдущих кампаниях использовались документы Microsoft Office для установки вредоносных программ на компьютерах жертв, в данной кампании операторы IcedID используют файлы ISO с файлом ярлыка Windows LNK и динамической библиотекой (DLL).
Файл LNK замаскирован под документ, но когда пользователь дважды щелкает по нему, файл использует инструмент Regsvr32 операционной системы для выполнения DLL-библиотеки, который расшифровывает и запускает IcedID. По словам экспертов, использование Regsvr32 помогает злоумышленникам избежать обнаружения. Это программа командной строки для регистрации и отмены регистрации DLL-библиотек и встроенных элементов управления.
Хотя эксперты не связывают данную кампанию IcedID с определенной киберпреступной группировкой, в отчете Proofpoint за июнь 2021 года отмечалось, что использовать IcedID в качестве своего вредоносного ПО предпочитают группировки TA577 и TA551.[4]
2021
На IKEA обрушились фишинговые атаки через взломанные серверы Microsoft Exchange
В конце ноября 2021 года на IKEA обрушились фишинговые атаки через взломанные серверы Microsoft Exchange. Злоумышленники рассылают вредоносные электронные письма дочерним организациям ритейлера, а также его партнерам. Подробнее здесь.
Использование в атаках иранских группировок
Киберконфликт между США и Ираном продолжает накаляться. Об этом стало известно 18 ноября 2021 года. ИБ-агентства предупредили о растущем числе атак иранских группировок с использованием уязвимостей в Fortinet FortiOS ( CVE-2018-13379 , CVE-2020-12812 и CVE-2019-5591 ) и Microsoft Exchange. Подробнее здесь.
ФБР разрешили взламывать серверы Microsoft Exchange для устранения уязвимостей
В середине апреля 2021 года суд США санкционировал удаленное вмешательство ФБР в работу сотен американских серверов для устранения последствий хакерской атаки на Microsoft Exchange Server.
В марте 2021 года Microsoft обнаружила хакерские атаки, проводимые группировкой Hafnium. Четыре уязвимости в программе Microsoft Exchange Server позволили злоумышленникам проникнуть на сервера и похитить конфиденциальные данные. Microsoft удалось устранить уязвимости, но выпущенные компанией патчи не убрали бэкдоры на тех серверах, которые были взломаны хакерами. В результате другие хакерские группировки начали использовать уязвимые сервера, чтобы внедрять в них вирусы-вымогатели.
Количество зараженных серверов снижалось по мере установки исправлений. Но сотни серверов Exchange долгое время оставались уязвимыми, поскольку эти бэкдоры трудно найти и устранить, говорится в заявлении Министерства юстиции США. Ситуация могла стать критической, поэтому суд города Хьюстон разрешил ФБР удаленно подключиться к сотням американских серверов, чтобы вручную удалить оставшиеся от хакеров веб-оболочки.
В ходе сегодняшней операции были удалены веб-оболочки, которые могли быть использованы для установления постоянного неавторизованного доступа к сетям США, — сообщил представитель Министерства юстиции США. |
Он также заявил, что в ходе операции спецслужба удалила только бэкдоры, но не стала исправлять уязвимости, используемые хакерами, и не удаляла оставшееся вредоносное ПО.
Считается, что это первый известный случай, когда ФБР эффективно вмешалось в работу частных серверов для устранения последствий кибератак. В 2016 году Верховный суд разрешил судьям США выдавать ордера на обыск и изъятие за пределами своего округа. В то время критики выступили против этого шага, опасаясь, что ФБР может обратиться в дружественный суд с просьбой разрешить кибероперации в любой точке мира.[5]
Взлом 60 тыс. компаний из-за уязвимости в Microsoft Exchange Server
В марте 2021 года стало известно о взломе компьютерных систем не менее 60 тыс. компаний в разных странах из-за уязвимости в программном обеспечении Microsoft Exchange Server.
Как сообщает Bloomberg со ссылкой на бывшего высокопоставленного чиновника в правительстве США, большинство пострадавших — представители малого и среднего бизнеса. По словам собеседника информагентства, хакеры уже развернули широкую сеть зараженных компьютеров к тому моменту, когда Microsoft работала над устранением последствий атаки.
О кибернападении на Exchange Server компания Microsoft сообщила в начале марта 2021 года. Она обвинила в атаке хакерскую группировку Hafnium, за которой, по мнению Microsoft, стоят власти Китае. Тогда американская корпорация воздержалась от раскрытия деталей инцидента и лишь отметила, что злоумышленники пытались получить информацию от исследователей инфекционных заболеваний, юридических фирм, вузов, неправительственных учреждений, аналитических центров и ряда других организаций.
В компании уточнили, что хакеры получили доступ к серверу с помощью украденных паролей или уязвимостей в работе программного обеспечения, о которых ранее не было известно.
2 марта 2021 года Microsoft выпустила экстренное обновление для Exchange Server, которое должно исправить уязвимость. Однако к 5 марта его установили только 10% скомпрометированных организаций, и, как утверждает Reuters, взломы продолжились.
Представитель властей США сообщил 7 марта 2021 года Bloomberg, что на всех уровнях американского правительства принимаются меры с целью «оценить и устранить последствия» действий хакеров.
Угроза сохраняется и развивается, и мы призываем операторов интернет-сетей относиться к ней со всей серьезностью, – приводит издание слова неназванного представителя Белого дома.[6] |
2019: Исправление уязвимостей в Exchange Server 2019, 2016 и 2013
11 января 2019 года компания Microsoft сообщила, что исправила в Microsoft Exchange Server 2019, 2016 и 2013 две уязвимости, позволяющие удаленно выполнить код и раскрыть информацию.
По информации компании, согласно уведомлению безопасности, уязвимость удаленного выполнения кода (CVE-2019-0586) существует из-за неправильной обработки Exchange Server объектов в памяти. Ее успешная эксплуатация даст возможность атакующему запускать код в контексте пользователя системы и в результате устанавливать ПО, просматривать, модифицировать и удалять данные, а также создавать учетные записи.
Для эксплуатации уязвимости атакующий должен отправить на уязвимый сервер особым образом сконфигурированное электронное письмо. Проблема была исправлена производителем путем изменения процесса обработки объектов в памяти.
Уязвимость раскрытия информации (CVE-2019-0588) связана с тем, что PowerShell API сервера предоставляет календарю больше разрешений, чем требуется. Для ее эксплуатации атакующий должен получить от администратора доступ к календарю через PowerShell. В таком случае ему будет видна информация о календаре, которая в обычных условиях должна быть скрыта.
Обновления безопасности, исправляющие обе уязвимости, отмечены производителем как «важные». Их можно установить автоматически через «Центр обновления Windows» или загрузить вручную с сайта Microsoft.[7]
2015
Microsoft Exchange Server 2016
28 октября 2015 года компания Microsoft сообщила о доступности Microsoft Exchange Server 2016 для загрузки[8].
Поддерживаются операционные системы: Windows 8.1; Windows Server 2012; Windows Server 2012 R2.
Exchange интегрируется с Outlook, SharePoint и OneDrive для бизнеса, открывая возможности для совместной работы, включая обмен, редактирование и получение документов без необходимости покидать Outlook. Для папок входящих сообщений Outlook 2016 и веб-версии Outlook реализованы встроенные превью ссылок и видео, они помогут сфокусироваться на приоритетах. Расширены возможности и результативность поиска.
Расширен функционал предотвращения потери данных (DLP). Ускорен и усилен механизм функции eDiscovery, она поможет организациям соответствовать всем требованиям законодательства. Exchange 2016 предоставляет платформу будущего для сообщений, с встроенными гибридными возможностями и опциями перехода в облако клиентам on-premise.
Некоторые возможности
- улучшение совместной работы: Exchnage Server 2016 включает в себя новый подход к вложениям, что упрощает совместное использование документов и устраняет головную боль с управлением различных версий. В Outlook 2016 или веб-версии Outlook теперь доступно прикрепить документ в качестве ссылки на SharePoint 2016 (пока в режиме превью) или OneDrive для бизнеса вместо традиционного прикрепления, обеспечивая преимущества совместной работы и контроля версий
- улучшение опыта взаимодействия с веб версией Outlook: Новые функции включают в себя: переключение, прикрепление, отмену, быстрый ответ, улучшение рендеринга HTML, новые темы, смайлы эмодзи и многое другое.
- поиск: Текущая архитектура поиска обеспечивает молниеносное быстродействие и дает более точные и полные результаты. Outlook 2016 оптимизирован для использования полной силы Exchange Server 2016, чтобы помочь в поиске документа намного быстрее, независимо от того, старая это почта или новая.
- возможности расширения: расширенная Add-In модель для настольной версии Outlook и веб-версии Outlook позволяют разработчикам создавать новые возможности и функции Outlook. Надстройки теперь можно интегрировать с компонентами пользовательского интерфейса.
Стабильная версия Exchange Server 2016
1 октября 2015 года компания Microsoft сообщила о выходе версии Exchange Server 2016[9].
Несмотря на попытки избавиться от электронной почты, как предпочтительного средства бизнес-коммуникаций, для многих пользователей почтовый ящик остается неотъемлемым элементом рабочего дня. По мнению Microsoft, здесь есть возможности для совершенствования посредством интеграции некоторых имеющихся в Office функций совместной работы.
Поиск переработан для выдачи «более точных и полных результатов», отмечается в заявлении корпорации: «Outlook 2016 оптимизирован для использования серверной мощи Exchange 2016, чтобы помочь вам быстрее находить нужное в старых и новых сообщениях. Кроме того, поиск стал более интеллектуальным благодаря предлагаемым вариантам поиска, вариантам имен людей, уточнению поисковых критериев и возможности искать события в календаре».
Представление Exchange Server 2016 (2015)
Предназначенный для мобильных устройств компонент Outlook на платформе браузера получил новые и несколько усовершенствованные функции. Пользователи, получающие доступ к своим почтовым ящикам через Интернет, могут теперь закреплять элементы, отменять действия и включать в сообщения смайлики. Относительно визуального представления - веб-приложение поддерживает построчный просмотр почтового ящика и новые темы. Улучшен движок рендеринга HTML.
Скриншот окна программы (2015)
Проекты, связанные с интенсивным выявлением электронных данных, должны получить выигрыш благодаря более быстрому и более надежному каналу связи. Новая асинхронная и распределенная архитектура поиска обладает повышенной устойчивостью к сбоям за счет распределения нагрузки между несколькими серверами.
В дополнение к более современному интерфейсу пользователя и набору инструментов в этом сервере электронной почты улучшены администрирование и управление.
Согласно утверждениям разработчиков Exchange, архитектура Exchange 2016 отражает способ развертывания Exchange в Office 365, она является эволюцией и улучшением Exchange 2013. Комбинированный почтовый ящик и роль сервера клиентского доступа облегчают планирование и масштабирование системы при развертывании на собственной площадке и в гибридном варианте. Упрощено совместное ее использование с Exchange 2013, облегчилось планирование пространства имен.
Снижена вероятность сбоев и отказов. Возможности автоматического исправления базы данных, включая обнаружение расхождения различных баз, наряду с повышенной стабильностью и производительностью решения создали более надежную программную основу системы электронной почты организации, утверждают в Microsoft.
Система доступна для загрузки с сайта Microsoft Download Center. Клиенты могут тестировать полнофункциональный продукт в течение 180 дней.
Предварительная версия Exchange Server 2016
27 июля 2015 года компания Microsoft объявила о готовности предварительной версии Exchange Server 2016. Она доступна всем, кто хочет с ней ознакомиться и протестировать. Выпуск продукта запланирован на вторую половину 2015 года[10].
Система Exchange Server 2016 предназначена для работы на площадке заказчика (on-premise). Однако в ней используются облачные технологии.
Базовый блок архитектуры Exchange Server 2016, 2015
Руководство Microsoft охарактеризовало Exchange Server 2016, как результат эволюционного, а не революционного развития функционала версии Exchange Server 2013, одновременно утверждая, что в Exchange Server 2016 появился ряд усовершенствований. Согласно заявлению компании, изменения затронули веб-клиент Outlook Web App - начиная с этой версии он называется Outlook on the Web. В числе дополнений: функции Sweep, Pin, Undo, Inline reply и другие. Улучшена производительность рендеринга, пользовательский интерфейс стал удобнее и более «интеллектуальным», чем в Exchange Server 2013.
Пользователи нередко выражали недовольство, когда получили разные результаты при поиске через Outlook и Outlook Web App. В новой версии Exchange эта проблема решена, и оба клиента показывают одинаковые результаты. В Exchange и в Outlook используется усовершенствованная архитектура поисковой системы.
Расширены возможности защиты от утечек данных (Data Loss Prevention, DLP) — добавлено 30 типов конфиденциальной информации и средства для создания цифровых отпечатков документов (document fingerprinting).
В Exchange Server 2016 восстановление после отказа происходит на 33% быстрее, чем в предыдущей версии, утверждают в компании, посредством чтения пассивной копии базы данных и другим усовершенствованиям.
Улучшены средства автоматического исправления ошибок за счет добавления средств обнаружения расхождений, которые проактивно выявляют поврежденные экземпляры баз данных, позволяя ИТ-специалистам устранить сбои до того, как их заметят пользователи.
Внедрение облачных технологий упростило использование Exchange Server 2016 в гибридной облачной среде. Microsoft уделила этому повышенное внимание, так как поддержка гибридной модели позволяет компании дифференцировать свою почтовую систему на фоне конкурирующих облачных продуктов. Для объединения облачных и онпремисных почтовых компонентов предназначен мастер гибридной конфигурации Hybrid Configuration Wizard, который позволяет синхронизировать данные в Exchange и в Office 365.
Согласно Microsoft, возможности Exchange Server 2016 позволяют пользователям Office 365 хранить свои почтовые ящики на своей площадке, т.е. по онпремисной модели, продолжая использовать функционал Office 365, такой как шифрование сообщений и защиту от угроз.
Предварительная версия Exchange Server 2016 совместима с Exchange 2010 SP3 и Exchange 2013, но не совместима с Exchange 2007.
2014: Продукты Microsoft System Center 2012 R2, Dynamics CRM 2013, Exchange Server 2013 и SharePoint Server 2013 получили сертификат ФСТЭК России
В октябре 2014 года ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» и ООО «Сертифицированные информационные системы» получили сертификаты Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программные продукты Microsoft System Center 2012 R2, Dynamics CRM 2013, Exchange Server 2013 и SharePoint Server 2013.
Как указано в сертификатах соответствия ФСТЭК России, программные продукты System Center 2012 R2 (сертификат №3226), Dynamics CRM 2013 (сертификат №3228), Exchange Server 2013 (сертификат №3229), SharePoint Server 2013 (сертификат №3231), разработанные Microsoft Corporation, является прикладным программным обеспечением со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции управления доступом субъектов доступа к объектам доступа и регистрации событий безопасности, соответствует требованиям технических условий, при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в соответствующих формулярах.
2013: Накопительное обновление Exchange Server 2013 Cumulative Update 3
В конце ноября 2013 года Microsoft выпустила обновление почтовой платформы Exchange Server 2013 Cumulative Update 3. Согласно планам корпорации, оно должно устранить проблему, возникающую при восстановлении данных.
Исправления
В числе исправлений, внесенных Microsoft в это обновление, устраняется проблема, не позволяющая восстановить данные Exchange из архивных копий.
Компания в корпоративном блоге указала: "Cumulative Update 3 содержит исправление проблемы, которая могла случайным образом препятствовать корректному восстановлению заархивированной информации Exchange Server 2013". Влияние это распространялось, как на Windows Server Backup, так и на сторонние продукты, отмечено в статье базы знаний KB2888315, где приведено описание ошибки.
Обновление вероятно избавит от неприятностей, сопровождающихся сообщениями об ошибках:
- "The Microsoft Exchange Replication service VSS Writer instance 'GUID' failed with error code 0x80070015 when preparing for a backup of database 'DatabaseName'".
- "The Microsoft Exchange Replication service VSS Writer could not obtain the log file signature for database 'DatabaseName'. The msexchangerepl service may need to be restarted and the backup retried after all copies reach a stable mounted or healthy state."
Microsoft рекомендует пользователям, регулярно использующим функциональность Exchange Backup and Recovery, "установить Cumulative Update 3 и приступить к архивированию своих данных для полной гарантии, что данные, записанные в архивах, впоследствии можно будет корректно восстановить".
Обновление устраняет три критические уязвимости, потенциально позволяющие хакерам получить контроль над сервером Exchange, или, в терминах компании, использовать "Remote Code Execution".
В бюллетене по безопасности MS13-061 Microsoft предупредила: "эти уязвимости делают возможным удаленное выполнение кода в контексте безопасности службы перекодировки на сервере Exchange, если пользователь осуществляет предварительный просмотр специально созданного файла с помощью Outlook Web App (OWA)". Уязвимости в Exchange влияют на программные компоненты WebReady Document и Data Loss Prevention в версиях Exchange 2013, 2010 и 2007.
Помимо исправлений, обновление содержит "связанные с Exchange обновления схемы и конфигурации Active Directory", а также "новые усовершенствования существующей функциональности". Среди них Microsoft сделал акцент на:
- более удобной процедуре добавления участников в новые и уже существующие группы в Exchange Administration Console;
- возможности использования онлайн-служб RMS и в "не облачных" вариантах развертывания Exchange;
- более наглядный журнал административного аудита;
- отсутствие необходимости использовать OWA Light при наличии Windows 8.1 с IE11.
В планах компании выпуск Exchange Server 2013 Cumulative Update 4 в виде Exchange Server 2013 Service Pack 1. Согласно рекомендации Microsoft, пользователи, ожидающие очередного пакета исправлений и усовершенствований, "должны считать Service Pack 1 эквивалентом Cumulative Update 4 и развертывать этот пакет обычным способом".
2012
Microsoft Exchange 2013
На июль 2012 года усовершенствования Microsoft Exchange 2013 включают улучшенные возможности расширения функций, а также поддержку командных почтовых ящиков для интеграции с порталами SharePoint. В рамках поддержки автономного режима в web-клиенте OWA, пользователи теперь могут автоматически синхронизировать письма и действия с сервером, как только подключение к сети будет вновь доступно. Почтовые ящики для групп и сайтов позволяют работать с письмами Exchange и документами SharePoint как с единым массивом информации.
Модуль Outlook Web App (OWA) теперь предлагает три разных режима интерфейса, оптимизированных для ПК, планшетов и телефонов. Заказчики могут дорабатывать внешний вид стандартного Outlook и модуля OWA за счет интеграции собственных приложений в магазин расширений для Office – Office Store. Для создания расширений компания Microsoft рекомендует использовать свой новый инструмент Napa и/или HTML5.
Прежняя консоль Exchange Management Console заменена web-интерфейсом EAC (Exchange Administrative Center). Кроме того, разработчики сообщают о поддержке дисков емкостью до 8 Тб и нескольких баз данных на каждом диске за счет их группировки с помощью новой технологии DAG (Data Availability Group). В новой версии Exchange реализована встроенная базовая защита от вредоносного ПО – ее параметры регулируются через консоль EAC. Эту базовую защиту можно отключать, заменять или комбинировать с дополнительными платными сервисами, например, Exchange Online Protection для многоуровневой защиты.
Новые функции предотвращения утечки данных помогают определять и защищать конфиденциальную информацию. Политики охраны персональных и секретных данных опираются на законодательные стандарты, включая PII и PCI. Кроме того, в Outlook 2013 теперь есть предупреждения о потенциальном нарушении политик, если пользователь попробует передать во внешнюю среду важную информацию. Кроме того, поддерживается единое обследование сетевых ресурсов в режиме eDiscovery для всех серверов Exchange, SharePoint и Lync через общий интерфейс.
Число ролей сервера сокращено до двух: сервер клиентского доступа Client Access Server и сервер почты Mailbox Server. Поисковый механизм FAST Search теперь встроен в управляемое хранилище Exchange 2013, обеспечивая эффективное индексирование серверов Microsoft и быстрый поиск данных. Процедуры хранения сообщений в управляемом хранилище Managed Store полностью написаны на языке C#. Кроме того, огромное внимание уделено интеграции с другими серверными платформами Microsoft.
Сертификация Exchange Server 2010 с SP1 и System Center Service Manager 2010 с SP1
2 апреля 2012 года компания Майкрософт, ФГУП «Предприятие по поставкам продукции Управления делами Президента РФ» и ООО «Сертифицированные информационные системы» объявили о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) новых продуктов Майкрософт – сервера почтовых сообщений Exchange Server 2010 с Service Pack 1 (SP1) и сервера управления информационной структурой System Center Service Manager 2010 с Service Pack 1 (SP1).
Как указано в сертификатах на Exchange Server 2010 c SP1 (№2553 от 26.01.2012) и System Center Service Manager 2010 с SP1 (№2555 от 26.01.2012), эти продукты корпорации Майкрософт являются программными средствами общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
Объектом сертификации стали не только сами продукты, но также система учета и распространения сертифицированных обновлений, организованная для данных продуктов ФГУП «Предприятие по поставкам продукции Управления делами Президента РФ» и ООО «Сертифицированные информационные системы». Это означает, что заказчики смогут получать любое количество необходимых им сертифицированных продуктов в течение всего срока действия сертификата. Кроме этого, покупатели сертифицированных версий продуктов будут получать сертифицированные обновления, что позволит им постоянно соответствовать требованиям российского законодательства.
2010
Microsoft Exchange Server 2010
На июнь 2010 года продукт Microsoft Exchange Server 2010 представляет собой интегрированное корпоративное решение для обмена сообщениями и организации совместной работы сотрудников. Реализованные в решении технологии упрощают администрирование почтовой системы, обладают возможностями голосового управления, в том числе и на русском языке и способствуют снижению затрат на поддержку IT-инфраструктуры. Вам предстоит ознакомиться с отличительными особенностями новой версии в сравнении с предыдущей - Microsoft Exchange Server 2007.
Основные функции Microsoft Exchange:
- Обработка и пересылка почтовых сообщений
- Совместный доступ к календарям и задачам
- Поддержка мобильных устройств и веб-доступ
- Интеграция с системами голосовых сообщений (начиная с Exchange 2007)
- Поддержка систем обмена мгновенными сообщениями (поддержка удалена с версии Exchange 2003)
Особенности
Главная особенность сервера — тесная интеграция с Active Directory: большая часть пользовательских данных хранится в Active Directory (связь учётных записей пользователей и почтовых ящиков, списки контактов). Отдельно от Active Directory хранятся только сами почтовые ящики (в связи с существенным размером). Благодаря механизму репликации Active Directory в случае использования нескольких серверов Microsoft Exchange Server сохраняется актуальность данных на всех серверах. Так же «автоматически» поддерживается иерархическая система доверительных отношений между доменами.
Для работы с OMA/OWA используются возможности IIS.
Поддерживаемые протоколы
MAPI — Основной протокол взаимодействия клиентов с Exchange Server, обладает наиболее широкой поддержкой функций обмена почтовыми сообщениями и совместной работы над документами, в календарях и адресных книгах. Начиная с Exchange Server 2007 — также основной протокол обмена данными между ролью Cервера хранения почты (Mailbox role) и прочими ролями Exchange Server 2007.
* SMTP — основной протокол пересылки почтовых сообщений в интернете и внутри организации Exchange.
* POP3 — один из клиентских протоколов доступа к Exchange Server.
* IMAP4 — один из клиентских протоколов доступа к Exchange Server.
* HTTP/HTTPS — один из клиентских протоколов доступа к Exchange Server, кроме того используется для доступа мобильных устройств к Exchange Server, а также для пересылки и распространения адресных книг и календарей клиентам организации Exchange Server.
* LDAP/LDAPS SSL — протокол обмена данными между Exchange Server и Службой Каталогов Microsoft Windows Active Directory.
* DAVEx — в Exchange 2003, протокол обмена данными между Exchange подсистемами и IIS, основан на базе WebDAV.
С Microsoft Exchange Server могут работать следующие клиенты
Microsoft Outlook (из состава Microsoft Office) — основной клиент MAPI для работы с сервером с рабочих станций, поддерживает также POP3/SMTP, IMAP4/SMTP, HTTPS, RSS, ATOM.
* Outlook Express (OE) — бесплатный упрощенный клиент Outlook, входящий в поставку Microsoft Windows, вплоть до версии Windows XP. Поддерживает все протоколы полной версии, кроме MAPI.
* Windows Mail — преемник OE в Windows Vista, обладает теми же характеристиками.
* Outlook Web Access (OWA) — веб-клиент Exchange (поддерживается почти полная функциональность outlook за исключением возможности редактировать задания из планировщика и локального спам-фильтра).
* Outlook Mobile Access (OMA) — (только в Exchange 2000, 2003) предельно упрощённый интерфейс для доступа с мобильных устройств различных производителей (интерфейс потребляющий минимальный трафик и оптимизированный под экраны различного разрешения). Упразднен в Exchange Server 2007, в связи с глобальным распространением ActiveSync.
* ActiveSync — мобильный клиент, аналог Microsoft Outlook для коммуникаторов и смартфонов различных производителей. Для Exchange 2000 Server мобильных клиентов (только Windows Mobile ActiveSync) поддерживал Microsoft Mobile Information Server; в Exchange 2003 Server эти функции были интегрированы, в виде Exchange ActiveSync (EAS); для Exchange Server 2007, Microsoft открыла и передала исходные коды клиентского ActiveSync консорциуму Symbian, производителю Palm, и Apple для iPhone, в связи с чем ActiveSync для мобильных устройств был реализован не только для платформы Windows Mobile, но и для SymbianOS, PalmOS, iPhone OS и прочих.
* Outlook Voice Access (OVA) — Система голосового доступа к функциям почты, календарей, адресной книги, задачам (начиная с Exchange Server 2007). Поддерживает преобразование текстовой информации в голос (text-to-speech) в чтении текстовых почтовых сообщений и расписания событий в календаре, а также преобразование голоса в текст (speech-to-text). Поддерживает прослушивание записанных телефонных голосовых сообщений, надиктовку ответных сообщений, пометок в календаре, с пересылкой сообщений всем приглашенным, а так же управление текстовыми, голосовыми сообщениями и событиями в календаре, в почтовом ящике пользователя Exchange 2007. Не требует клиентского ПО, доступ к OVA возможен с любых телефонов, поддерживающих тоновый набор. Управление содержимым почтового ящика может осуществляться как голосовыми командами, так и клавишами телефона. Поддерживается 16 языков доступа и распознавания. Поддержка русского языка реализована в разрабатываемой в настоящее время, следующей версии Exchange 14.
* Произвольные почтовые клиенты — по любым вышеуказанным протоколам, так как все они являются открытыми.
Резервное копирование
Microsoft Exchange Server, до версии 2003, при установке дополняет стандартный инструмент архивации Windows — NTBackup — поддержкой хранилищ Exchange. Если есть необходимость резервного копирования/ восстановления не только почтовых хранилищ, но и персональных почтовых ящиков, то можно использовать инструменты резервного копирования сторонних производителей, например Symantec Backup Exec, или штатную функцию «Restore-Mailbox». В Microsoft Windows Server 2008 инструмент NTBackup отсутствует, а его аналог непригоден для архивации баз данных Exchange, вместо этого Microsoft рекомендует использовать для резервного копирования почтовых баз данных Exchange, а также служебной информации Active Directory — серверное приложение Microsoft System Center Data Protection Manager (Microsoft SC DPM), либо альтернативные решения одобренных вендоров. Ситуация была исправлена с выходом Service Pack 2 для Exchange 2007, в этом выпуске существуют компоненты для архивирования разделов с базами Exchange в среде Windows Server 2008.
Кроме этого, Microsoft также публикует список серверных приложений для архивации, производства компаний-партнеров, для архивации хранилищ Exchange Server. Резервное копирование хранилищ в «пофайловом виде», только при условии отключения хранилищ на время резервного копирования — крайне не рекомендуется. Механизм теневого копирования поддерживается, и возможность его применения зависит от выбранного продукта для архивации.
Microsoft Exchange Server 2007
На апрель 2010 года в рамках модели Exchange 2007 для серверов выделяются следующие серверные роли (аналогично ролям сервера Windows 2003/2008):
- Сервер почтовых ящиков (англ. Mailbox server, MB)
- Сервер клиентского доступа (англ. Client Access, CA)
- Транспортный концентратор (англ. Hub Transport, HT)
- Пограничный транспортный сервер (англ. Edge Transport, ET)
- Сервер объединённых коммуникаций (англ. Unified Messaging, UM)
За исключением роли пограничного сервера, все остальные роли могут совмещаться в произвольной комбинации на каждом из серверов. Во всей почтовой организации Exchange или отдельном сайте Active Directory обязательно должны быть проинсталлированы, как минимум в одном экземпляре, роли Cервера почтовых ящиков, Сервера клиентского доступа и Транспортного концентратора. Также как и для предыдущих версий, Exchange Server 2007 крайне не рекомендуется совмещать с Контроллером Домена Active Directory.
Все роли Exchange Server 2007 должны располагаться на:
- серверных операционных системах Windows Server 2008 или 2003,
- входящих в домен Active Directory
за исключением Пограничного транспортного сервера, который устанавливается в Демилитаризованную Зону (DMZ) сети.
Exchange Server 2007 полностью совместим, в пределах леса Active Directory/организации Exchange с серверами Exchange 2003 и 2000, и полностью несовместим с Exchange 5.5 или более ранними версиями. [править] Версии Exchange 2007
Версии, используемые в практической работе — только 64-битные, хотя существует тестовая 32-битная версия. Существует два издания Exchange 2007: Standard Edition и Enterprise Edition. Издания различаются стоимостью, максимальным количеством поддерживаемых хранилищ и групп хранилищ, поддержкой кластеризации. Ограничения на размер хранилищ для изданий Standard и Enterprise составляют 16ТБ на базу, с целью распределения нагрузки между хранилищами. Standard и Enterprise издания серверов могут свободно (в рамках ограничений для Standard в пределах выполняемых сервером обязанностей) сосуществовать вместе.
Примечания
- ↑ Ransomware gang uses new Microsoft Exchange exploit to breach servers
- ↑ Одних исправлений недостаточно, чтобы побороть уязвимости в Microsoft Exchange
- ↑ Новый эксплойт IceApple заражает сервера Microsoft Exchange
- ↑ Операторы IcedID распространяют вредонос через взломанные серверы Microsoft Exchang
- ↑ FBI launches operation to remove backdoors from hacked Microsoft Exchange servers
- ↑ Microsoft Attack Blamed on China Morphs Into Global Crisis
- ↑ В MICROSOFT EXCHANGE SERVER ИСПРАВЛЕНЫ ОПАСНЫЕ УЯЗВИМОСТИ
- ↑ Состоялся релиз Exchange Server 2016
- ↑ Microsoft выпускает Exchange Server 2016
- ↑ Что нового в Exchange Server 2016
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (176)
МойОфис (ООО Новые облачные технологии) (79)
Синтеллект (Syntellect) (76)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (51)
Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (36)
Другие (904)
Синтеллект (Syntellect) (52)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (14)
Almi Partner, Алми партнер (ГК Алми) (9)
Softline (Софтлайн) (9)
CommuniGate Systems (СталкерСофт) (5)
Другие (82)
Датапакс (11)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (9)
CommuniGate Systems (СталкерСофт) (5)
МойОфис (ООО Новые облачные технологии) (4)
Qsoft (Кьюсофт) (4)
Другие (54)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (61, 476)
МойОфис (ООО Новые облачные технологии) (12, 89)
Синтеллект (Syntellect) (2, 77)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (2, 62)
СБК (Система безопасных коммуникаций) (2, 41)
Другие (617, 475)
Синтеллект (Syntellect) (2, 52)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 18)
Microsoft (6, 15)
СБК (Система безопасных коммуникаций) (1, 11)
The Document Foundation (2, 10)
Другие (32, 48)
СБК (Система безопасных коммуникаций) (1, 9)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 9)
МойОфис (ООО Новые облачные технологии) (2, 5)
Qsoft (Кьюсофт) (1, 4)
Тест АйТи (Test IT) (1, 3)
Другие (17, 19)
МойОфис (ООО Новые облачные технологии) (1, 8)
Корус Консалтинг (1, 8)
Яндекс (Yandex) (1, 7)
Cloud4Y (ООО Флекс) (1, 7)
Qsoft (Кьюсофт) (1, 7)
Другие (21, 40)
РуПост (3, 3)
VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2, 3)
СКБ Контур (1, 3)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3)
Корус Консалтинг (1, 3)
Другие (15, 17)
Распределение систем по количеству проектов, не включая партнерские решения
Microsoft 365 (ранее Office 365) - 127
Microsoft Exchange Server - 110
Новые облачные технологии: МойОфис - 73
Skype for Business (ранее Microsoft Lync) - 67
Р7-Офис - 62
Другие 772
Syntellect Tessa Мобильное согласование - 30
Syntellect Tessa Графический визуализатор процессов - 28
Р7-Офис - 18
CommuniGate Pro - 11
AlterOffice - 9
Другие 58
Р7-Офис - 9
CommuniGate Pro - 9
Новые облачные технологии: МойОфис - 5
Qsoft Teamly Система управления знаниями - 4
Test IT TMS (Test Management System) - 3
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (69)
МойОфис (ООО Новые облачные технологии) (65)
CommuniGate Systems (СталкерСофт) (17)
Яндекс (Yandex) (8)
LanCloud (ЛанКлауд) (7)
Другие (148)
CommuniGate Systems (СталкерСофт) (5)
МойОфис (ООО Новые облачные технологии) (4)
LanCloud (ЛанКлауд) (2)
Softline (Софтлайн) (2)
DA IT Company (1)
Другие (9)
CommuniGate Systems (СталкерСофт) (5)
МойОфис (ООО Новые облачные технологии) (4)
Аксофт (Axoft) (3)
LanCloud (ЛанКлауд) (1)
Softline (Софтлайн) (1)
Другие (9)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (6, 143)
МойОфис (ООО Новые облачные технологии) (3, 73)
СБК (Система безопасных коммуникаций) (4, 41)
Яндекс (Yandex) (2, 10)
РуПост (2, 8)
Другие (40, 19)
СБК (Система безопасных коммуникаций) (1, 11)
Microsoft (2, 4)
МойОфис (ООО Новые облачные технологии) (1, 4)
LanCloud (ЛанКлауд) (1, 2)
Яндекс (Yandex) (1, 1)
Другие (1, 1)
СБК (Система безопасных коммуникаций) (1, 9)
МойОфис (ООО Новые облачные технологии) (1, 5)
Лаборатория МБК (МБК Лаб) (1, 1)
РуПост (1, 1)
LanCloud (ЛанКлауд) (1, 1)
Другие (0, 0)
МойОфис (ООО Новые облачные технологии) (1, 8)
Яндекс (Yandex) (1, 7)
РуПост (2, 3)
Астра Группа компаний (1, 3)
СБК (Система безопасных коммуникаций) (1, 3)
Другие (1, 1)
РуПост (2, 3)
МойОфис (ООО Новые облачные технологии) (1, 2)
Астра Группа компаний (1, 2)
СБК (Система безопасных коммуникаций) (1, 1)
Яндекс (Yandex) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Microsoft Exchange Server - 110
Новые облачные технологии: МойОфис - 73
CommuniGate Pro - 41
Microsoft Exchange Online - 25
Яндекс 360 (ранее Почта 360) - 10
Другие 25
CommuniGate Pro - 11
Новые облачные технологии: МойОфис - 4
LanCloud: Cloud Exchange - 2
Microsoft Exchange Server - 2
Лаборатория МБК: Tegu Почтовый сервер - 1
Другие 1
CommuniGate Pro - 9
Новые облачные технологии: МойОфис - 5
RuPost Desktop - 1
Лаборатория МБК: Tegu Почтовый сервер - 1
LanCloud: Cloud Exchange - 1
Другие 0