Microsoft正在采取下一步措施，以確保本地Exchange安裝的安全。Microsoft Defender不僅檢測到由于ProxyLogon漏洞引起的系統(tǒng)感染。病毒掃描程序還可以自動檢測易受攻擊的系統(tǒng)，并關(guān)閉Exchange Server上的CVE-2021-26855漏洞。

數(shù)十萬臺Exchange服務器易受攻擊

畢竟，在2021年3月開始時，我們已經(jīng)知道本地Exchange Server 2013 – 1019版本中存在四個漏洞，這些漏洞允許通過接管來破壞安裝。涉嫌與國家有聯(lián)系的中國黑客組織Hafnium幾個月來都設(shè)法利用這些漏洞滲透了本地Exchange Server。直到2021年3月2日，該漏洞才被安全更新所關(guān)閉。我已經(jīng)在各種博客文章中對此漏洞進行了報道(請參閱文章結(jié)尾的鏈接)。

攻擊者的目標是控制受害者的電子郵件，并可能通過Active Directory權(quán)限訪問和滲透其網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。世界各地的管理員都在忙于保護Exchange服務器，這些服務器可以通過Internet通過端口443進行訪問，并且容易受到攻擊。自2021年2月下旬以來，一直在進行大規(guī)模掃描，以破壞易受攻擊的Exchange服務器并安裝Web Shell作為后門。安全供應商確定了170,000至280,000個潛在易受攻擊的Exchange實例。

Microsoft確實發(fā)布了工具來檢測受感染的Exchange系統(tǒng)。此外，過去兩周來，9,000臺Exchange服務器已在德國脫機，或者阻止了從Internet訪問OWA。但是，在德國具有開放式OWA的56,000臺Exchange服務器中，大約有12,000臺仍然容易受到ProxyLogon的攻擊。同時，網(wǎng)絡(luò)犯罪分子和至少十個威脅行為者也通過漏洞來瞄準易受攻擊的Exchange系統(tǒng)，并用勒索軟件或加密礦工對其進行感染。

Microsoft已發(fā)布PowerShell腳本和工具來檢測Exchange Server上的感染(請參閱本文結(jié)尾處的鏈接)并進行修復(Microsoft Exchange(本地)一鍵式緩解工具(EOMT)已發(fā)布)。但這可能不足以快速掌握Exchange Server實例。

Microsoft Defender加強Exchange安裝

隨著網(wǎng)絡(luò)犯罪分子繼續(xù)利用未修補的本地版本的Exchange Server 2013、2016和2019，Microsoft正在積極與客戶和合作伙伴合作以幫助他們保護Exchange Server系統(tǒng)。除了安全更新和Microsoft Exchange(本地)一鍵緩解工具(EOMT)外，Windows Defender還能夠檢測到某些惡意軟件。

Microsoft剛剛宣布，Microsoft Defender和System Center Endpoint Protection均已得到增強，可以自動緩解Exchange Server 2013-2019的未修補實例中的CVE-2021-26855漏洞。通過最新的安全智能更新，Microsoft Defender防病毒和System Center Endpoint Protection可以自動緩解所有易受攻擊的Exchange服務器上的CVE-2021-26855漏洞。

所需要做的就是在Exchange服務器上安裝上述防病毒程序之一。用戶客戶只需要確保已安裝了最新的Security Intelligence Update(內(nèi)部版本1.333.747.0或更高版本)就可以。如果啟用了自動更新，此新版本將自動出現(xiàn)。

掃描將緩解CVE-2021-26855漏洞。此外，會對服務器進行掃描，然后將可能發(fā)現(xiàn)的已知攻擊者的任何篡改撤消。此初步緩解措施旨在幫助客戶保護自己，并留出時間為他們的版本安裝最新的Exchange累積更新。