Microsoft Defender自动缓解Exchange Server上的CVE-2021-2

Microsoft正在采取下一步措施,以确保本地Exchange安装的安全。Microsoft Defender不仅检测到由于ProxyLogon漏洞引起的系统感染。病毒扫描程序还可以自动检测易受攻击的系统,并关闭Exchange Server上的CVE-2021-26855漏洞。

数十万台Exchange服务器易受攻击

毕竟,在2021年3月开始时,我们已经知道本地Exchange Server 2013 – 1019版本中存在四个漏洞,这些漏洞允许通过接管来破坏安装。涉嫌与国家有联系的中国黑客组织Hafnium几个月来都设法利用这些漏洞渗透了本地Exchange Server。直到2021年3月2日,该漏洞才被安全更新所关闭。我已经在各种博客文章中对此漏洞进行了报道(请参阅文章结尾的链接)。

攻击者的目标是控制受害者的电子邮件,并可能通过Active Directory权限访问和渗透其网络基础结构。世界各地的管理员都在忙于保护Exchange服务器,这些服务器可以通过Internet通过端口443进行访问,并且容易受到攻击。自2021年2月下旬以来,一直在进行大规模扫描,以破坏易受攻击的Exchange服务器并安装Web Shell作为后门。安全供应商确定了170,000至280,000个潜在易受攻击的Exchange实例。

Microsoft Defender自动缓解Exchange Server上的CVE-2021-26855

Microsoft确实发布了工具来检测受感染的Exchange系统。此外,过去两周来,9,000台Exchange服务器已在德国脱机,或者阻止了从Internet访问OWA。但是,在德国具有开放式OWA的56,000台Exchange服务器中,大约有12,000台仍然容易受到ProxyLogon的攻击。同时,网络犯罪分子和至少十个威胁行为者也通过漏洞来瞄准易受攻击的Exchange系统,并用勒索软件或加密矿工对其进行感染。

Microsoft已发布PowerShell脚本和工具来检测Exchange Server上的感染(请参阅本文结尾处的链接)并进行修复(Microsoft Exchange(本地)一键式缓解工具(EOMT)已发布)。但这可能不足以快速掌握Exchange Server实例。

Microsoft Defender加强Exchange安装

随着网络犯罪分子继续利用未修补的本地版本的Exchange Server 2013、2016和2019,Microsoft正在积极与客户和合作伙伴合作以帮助他们保护Exchange Server系统。除了安全更新和Microsoft Exchange(本地)一键缓解工具(EOMT)外,Windows Defender还能够检测到某些恶意软件。

Microsoft刚刚宣布,Microsoft Defender和System Center Endpoint Protection均已得到增强,可以自动缓解Exchange Server 2013-2019的未修补实例中的CVE-2021-26855漏洞。通过最新的安全智能更新,Microsoft Defender防病毒和System Center Endpoint Protection可以自动缓解所有易受攻击的Exchange服务器上的CVE-2021-26855漏洞。

所需要做的就是在Exchange服务器上安装上述防病毒程序之一。用户客户只需要确保已安装了最新的Security Intelligence Update(内部版本1.333.747.0或更高版本)就可以。如果启用了自动更新,此新版本将自动出现。

扫描将缓解CVE-2021-26855漏洞。此外,会对服务器进行扫描,然后将可能发现的已知攻击者的任何篡改撤消。此初步缓解措施旨在帮助客户保护自己,并留出时间为他们的版本安装最新的Exchange累积更新。

    您可能感兴趣的文章

    文章模式

    Microsoft Defender自动缓解Exchange Server上的CVE-2021-2

    Microsoft正在采取下一步措施,以确保本地Exchange安装的安全。Microsoft Defender不仅检测到由于ProxyLogon漏洞引起的系统感染。病毒扫描程序还可以自动检测易受攻击的

    长按识别二维码 进入电脑技术网查看详情

    请长按保存图片