Microsoft Exchange Server è un software che funge da server di posta elettronica oltre che da strumento per la gestione delle comunicazioni aziendali. È progettato per consentire agli utenti di inviare e ricevere email, gestire calendari, contatti e attività, oltre a fornire una serie di funzionalità collaborative e di gestione delle risorse all’interno di un’organizzazione.
Durante il patch day di agosto 2023, Microsoft ha distribuito un aggiornamento di sicurezza per le installazioni di Exchange Server che, tuttavia, oggi necessita di un ulteriore intervento. La vulnerabilità in questione è conosciuta con l’identificativo CVE-2023-21709: un aggressore non autenticato può far leva sulla falla presente in Exchange Server per acquisire privilegi elevati. L’attacco è di scarsa complessità e non richiede alcuna interazione da parte dell’utente.
Il meccanismo di aggressione sfrutta la rete e dà modo ai criminali informatici di forzare le password degli account utente per impersonare l’identità altrui. Per questo motivo, Microsoft incoraggia gli utenti di Exchange Server a usare password complesse, più difficili da superare con attacchi di tipo brute-force.
Una patch per Exchange Server a metà
Nel rilasciare la patch per la vulnerabilità CVE-2023-21709, a ridosso di ferragosto 2023, Microsoft aveva precisato che per correggere il problema di sicurezza gli amministratori IT avrebbero dovuto rimuovere manualmente il modulo vulnerabile IIS Token Cache di Windows o utilizzare questo script PowerShell. Solo in questo modo, effettuando uno dei due passaggi aggiuntivi, i server Exchange Server vulnerabili sarebbero risultati efficacemente protetti nei confronti degli exploit noti.
Microsoft rilascia una migliore correzione per i sistemi Exchange Server
In concomitanza con il patch day di ottobre 2023, Microsoft ha rilasciato un nuovo aggiornamento per Exchange Server che risolve completamente il problema CVE-2023-21709 e non richiede alcun intervento aggiuntivo.
La nuova patch correttiva per Microsoft IIS (CVE-2023-36434) rilasciata a ottobre 2023 consente di risolvere uno dei problemi di sicurezza che interessavano Exchange Server. Una volta installato l’aggiornamento correttivo, prosegue ancora l’azienda di Redmond, è possibile riattivare il modulo Token Cache sui server Exchange.
Cos’è IIS Token Cache e come riattivarla
Quando viene effettuata una richiesta al server, le credenziali di sicurezza associate alla richiesta (o le informazioni sull’utente anonimo) sono automaticamente utilizzate per creare un token utente. Il server usa questo token utente quando accede a file o ad altre risorse di sistema. Il token è conservato nella cosiddetta Token Cache in modo che il login sia richieste solo la prima volta in cui l’utente accede al sistema o dopo che il token dell’utente è rimosso dalla cache stessa.
Nei casi in cui la cache non contiene un token per la richiesta in arrivo, IIS deve chiamare il processo lsass.exe
per ottenere un token valido. Quest’operazione è ovviamente costosa dal punto di vista delle prestazioni e della scalabilità. Così, dopo aver applicato la patch Microsoft di ottobre destinata a IIS, è possibile riattivare la Token Cache.
Per riattivare Token Cache, è sufficiente aprire una finestra PowerShell con i diritti di amministratore quindi digitare quanto segue:
New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%\System32\inetsrv\cachtokn.dll"
Agli amministratori che devono ancora applicare la patch per la vulnerabilità CVE-2023-21709 rilasciata in agosto, Microsoft consiglia semplicemente di limitarsi a installare gli aggiornamenti di sicurezza di ottobre 2023 per Windows Server, senza compiere ulteriori passaggi.