En este tutorial te explicaré cómo activar la protección extendida (Exchange Extended Protection) en Exchange 2016 (y 2019 si no tienes CU14 que la activa automáticamente) que te permitirá protegerte de CVE-2024-21410.
Exchange Extended Protection es, de hecho, una configuración de seguridad mejorada para Exchange 2016/2019. Esta configuración se aplica mediante un script de PowerShell.
Antes de explicar cómo aplicar esta protección extendida, hay un punto de atención particularmente importante: cómo publica sus servidores Exchange.
Si utiliza una solución de proxy inverso tipo IIS ARR/Kemp/F5… no debe haber descarga SSL entre el proxy inverso y los servidores Exchange, la comunicación debe ser en HTTPS del cliente al servidor Exchange. Segundo elemento a tener en cuenta, el certificado SSL debe ser el mismo en el proxy inverso y en los servidores Exchange.
Antes de iniciar la configuración de protección extendida para Exchange, el sitio SERVER\RPC (sitio web predeterminado) debe configurarse sin descarga SSL.
Para hacer esto, ingrese el siguiente comando EMS:
Set-OutlookAnywhere 'EXCHANGE-SERVER-X\RPC (Default Web Site)' -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $trueAdapte el comando modificando EXCHANGE-SERVER-X para que se ajuste a su entorno; este comando debe colocarse para cada servidor Exchange.
Para ver el resultado de la Protección extendida de Exchange, primero usaremos el script HealthChecker.ps1 que nos permitirá verificar el estado del entorno de Exchange.
Cargue el script en un servidor Exchange y ejecútelo en EMS .\HealthChecker.ps1.
El resultado de la parte de Vulnerabilidad de seguridad:
Security Vulnerability
----------------------
IIS module anomalies detected: False
Security Vulnerability: Download Domains are not configured. You should configure them to be protected against CVE-2021-1730.
Configuration instructions: https://aka.ms/HC-DownloadDomains
Security Vulnerability: CVE-2022-24516, CVE-2022-21979, CVE-2022-21980, CVE-2022-24477, CVE-2022-30134, CVE-2024-21410
Extended Protection is not configuredEn los registros, podemos ver que la Protección Extendida no está activada y que el servidor es vulnerable a varios CVE, incluido el CVE-2024-21410.
Ahora aplicaremos Protección extendida para protegernos contra los distintos CVE de los servidores Exchange.
Descarga el guión ExchangeExtendedProtectionManagement en un servidor Exchange.
La protección extendida se aplicará a todos los servidores de Exchange.
Desde la consola de EMS, ejecute el script como administrador.
.\ExchangeExtendedProtectionManagement.ps1Al iniciar el script, debes confirmar la ejecución dos veces:
- El primero en validar al editor que firmó el guión.
- El segundo para confirmar el mensaje de advertencia sobre problemas conocidos.
Espere mientras se ejecuta el script…
Ha habilitado la protección extendida de Exchange.
Para ver el resultado, reinicie el script. .\HealthChecker.ps1
Si miramos la sección Vulnerabilidad de seguridad, las vulnerabilidades cubiertas por la Protección extendida de Exchange ya no aparecen en la lista, en particular CVE-2024-21410.
Ahora pruebe los diferentes accesos de cliente OWA y Outlook para asegurarse de que todo funcione correctamente.
En caso de bloqueo total, es posible desactivar la protección ampliada:
.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtectionPara retroceder (Revertir):
.\ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreConfiguration"