Microsoft正在采取下一步措施，以確保本地Exchange安裝的安全。Microsoft Defender不僅檢測到由于ProxyLogon漏洞引起的系統(tǒng)感染。病毒掃描程序還可以自動(dòng)檢測易受攻擊的系統(tǒng)，并關(guān)閉Exchange Server上的CVE-2021-26855漏洞。

數(shù)十萬臺(tái)Exchange服務(wù)器易受攻擊

畢竟，在2021年3月開始時(shí)，我們已經(jīng)知道本地Exchange Server 2013 – 1019版本中存在四個(gè)漏洞，這些漏洞允許通過接管來破壞安裝。涉嫌與國家有聯(lián)系的中國黑客組織Hafnium幾個(gè)月來都設(shè)法利用這些漏洞滲透了本地Exchange Server。直到2021年3月2日，該漏洞才被安全更新所關(guān)閉。我已經(jīng)在各種博客文章中對此漏洞進(jìn)行了報(bào)道(請參閱文章結(jié)尾的鏈接)。

攻擊者的目標(biāo)是控制受害者的電子郵件，并可能通過Active Directory權(quán)限訪問和滲透其網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。世界各地的管理員都在忙于保護(hù)Exchange服務(wù)器，這些服務(wù)器可以通過Internet通過端口443進(jìn)行訪問，并且容易受到攻擊。自2021年2月下旬以來，一直在進(jìn)行大規(guī)模掃描，以破壞易受攻擊的Exchange服務(wù)器并安裝Web Shell作為后門。安全供應(yīng)商確定了170,000至280,000個(gè)潛在易受攻擊的Exchange實(shí)例。

Microsoft確實(shí)發(fā)布了工具來檢測受感染的Exchange系統(tǒng)。此外，過去兩周來，9,000臺(tái)Exchange服務(wù)器已在德國脫機(jī)，或者阻止了從Internet訪問OWA。但是，在德國具有開放式OWA的56,000臺(tái)Exchange服務(wù)器中，大約有12,000臺(tái)仍然容易受到ProxyLogon的攻擊。同時(shí)，網(wǎng)絡(luò)犯罪分子和至少十個(gè)威脅行為者也通過漏洞來瞄準(zhǔn)易受攻擊的Exchange系統(tǒng)，并用勒索軟件或加密礦工對其進(jìn)行感染。

Microsoft已發(fā)布PowerShell腳本和工具來檢測Exchange Server上的感染(請參閱本文結(jié)尾處的鏈接)并進(jìn)行修復(fù)(Microsoft Exchange(本地)一鍵式緩解工具(EOMT)已發(fā)布)。但這可能不足以快速掌握Exchange Server實(shí)例。

Microsoft Defender加強(qiáng)Exchange安裝

隨著網(wǎng)絡(luò)犯罪分子繼續(xù)利用未修補(bǔ)的本地版本的Exchange Server 2013、2016和2019，Microsoft正在積極與客戶和合作伙伴合作以幫助他們保護(hù)Exchange Server系統(tǒng)。除了安全更新和Microsoft Exchange(本地)一鍵緩解工具(EOMT)外，Windows Defender還能夠檢測到某些惡意軟件。

Microsoft剛剛宣布，Microsoft Defender和System Center Endpoint Protection均已得到增強(qiáng)，可以自動(dòng)緩解Exchange Server 2013-2019的未修補(bǔ)實(shí)例中的CVE-2021-26855漏洞。通過最新的安全智能更新，Microsoft Defender防病毒和System Center Endpoint Protection可以自動(dòng)緩解所有易受攻擊的Exchange服務(wù)器上的CVE-2021-26855漏洞。

所需要做的就是在Exchange服務(wù)器上安裝上述防病毒程序之一。用戶客戶只需要確保已安裝了最新的Security Intelligence Update(內(nèi)部版本1.333.747.0或更高版本)就可以。如果啟用了自動(dòng)更新，此新版本將自動(dòng)出現(xiàn)。

掃描將緩解CVE-2021-26855漏洞。此外，會(huì)對服務(wù)器進(jìn)行掃描，然后將可能發(fā)現(xiàn)的已知攻擊者的任何篡改撤消。此初步緩解措施旨在幫助客戶保護(hù)自己，并留出時(shí)間為他們的版本安裝最新的Exchange累積更新。