本文主要介紹:Microsoft正在采取下一步措施��,以確保本地Exchange安裝的安全��。Microsoft Defender不僅檢測(cè)到由于ProxyLogon漏洞引起的系統(tǒng)感染�����。病毒掃描程序還可以自動(dòng)檢測(cè)易受攻擊的
Microsoft正在采取下一步措施�,以確保本地Exchange安裝的安全。Microsoft Defender不僅檢測(cè)到由于ProxyLogon漏洞引起的系統(tǒng)感染����。病毒掃描程序還可以自動(dòng)檢測(cè)易受攻擊的系統(tǒng),并關(guān)閉Exchange Server上的CVE-2021-26855漏洞����。
數(shù)十萬(wàn)臺(tái)Exchange服務(wù)器易受攻擊
畢竟,在2021年3月開(kāi)始時(shí)��,我們已經(jīng)知道本地Exchange Server 2013 – 1019版本中存在四個(gè)漏洞��,這些漏洞允許通過(guò)接管來(lái)破壞安裝���。涉嫌與國(guó)家有聯(lián)系的中國(guó)黑客組織Hafnium幾個(gè)月來(lái)都設(shè)法利用這些漏洞滲透了本地Exchange Server��。直到2021年3月2日�,該漏洞才被安全更新所關(guān)閉。我已經(jīng)在各種博客文章中對(duì)此漏洞進(jìn)行了報(bào)道(請(qǐng)參閱文章結(jié)尾的鏈接)����。
攻擊者的目標(biāo)是控制受害者的電子郵件,并可能通過(guò)Active Directory權(quán)限訪問(wèn)和滲透其網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)�����。世界各地的管理員都在忙于保護(hù)Exchange服務(wù)器�,這些服務(wù)器可以通過(guò)Internet通過(guò)端口443進(jìn)行訪問(wèn),并且容易受到攻擊����。自2021年2月下旬以來(lái),一直在進(jìn)行大規(guī)模掃描�����,以破壞易受攻擊的Exchange服務(wù)器并安裝Web Shell作為后門����。安全供應(yīng)商確定了170,000至280,000個(gè)潛在易受攻擊的Exchange實(shí)例����。
Microsoft確實(shí)發(fā)布了工具來(lái)檢測(cè)受感染的Exchange系統(tǒng)����。此外���,過(guò)去兩周來(lái)���,9,000臺(tái)Exchange服務(wù)器已在德國(guó)脫機(jī),或者阻止了從Internet訪問(wèn)OWA�。但是,在德國(guó)具有開(kāi)放式OWA的56,000臺(tái)Exchange服務(wù)器中��,大約有12,000臺(tái)仍然容易受到ProxyLogon的攻擊����。同時(shí),網(wǎng)絡(luò)犯罪分子和至少十個(gè)威脅行為者也通過(guò)漏洞來(lái)瞄準(zhǔn)易受攻擊的Exchange系統(tǒng)��,并用勒索軟件或加密礦工對(duì)其進(jìn)行感染����。
Microsoft已發(fā)布PowerShell腳本和工具來(lái)檢測(cè)Exchange Server上的感染(請(qǐng)參閱本文結(jié)尾處的鏈接)并進(jìn)行修復(fù)(Microsoft Exchange(本地)一鍵式緩解工具(EOMT)已發(fā)布)。但這可能不足以快速掌握Exchange Server實(shí)例。
Microsoft Defender加強(qiáng)Exchange安裝
隨著網(wǎng)絡(luò)犯罪分子繼續(xù)利用未修補(bǔ)的本地版本的Exchange Server 2013����、2016和2019,Microsoft正在積極與客戶和合作伙伴合作以幫助他們保護(hù)Exchange Server系統(tǒng)��。除了安全更新和Microsoft Exchange(本地)一鍵緩解工具(EOMT)外��,Windows Defender還能夠檢測(cè)到某些惡意軟件�。
Microsoft剛剛宣布,Microsoft Defender和System Center Endpoint Protection均已得到增強(qiáng)�����,可以自動(dòng)緩解Exchange Server 2013-2019的未修補(bǔ)實(shí)例中的CVE-2021-26855漏洞�����。通過(guò)最新的安全智能更新�����,Microsoft Defender防病毒和System Center Endpoint Protection可以自動(dòng)緩解所有易受攻擊的Exchange服務(wù)器上的CVE-2021-26855漏洞���。
所需要做的就是在Exchange服務(wù)器上安裝上述防病毒程序之一��。用戶客戶只需要確保已安裝了最新的Security Intelligence Update(內(nèi)部版本1.333.747.0或更高版本)就可以���。如果啟用了自動(dòng)更新,此新版本將自動(dòng)出現(xiàn)����。
掃描將緩解CVE-2021-26855漏洞。此外����,會(huì)對(duì)服務(wù)器進(jìn)行掃描,然后將可能發(fā)現(xiàn)的已知攻擊者的任何篡改撤消���。此初步緩解措施旨在幫助客戶保護(hù)自己�����,并留出時(shí)間為他們的版本安裝最新的Exchange累積更新���。
鄂公網(wǎng)安備42118102000349