Microsoft ha agregado una nueva característica a Exchange Server que tomará medidas automáticamente para remediar vulnerabilidades de alto riesgo (muy probablemente ya explotado por piratas informáticos).
Esto debería proteger los servidores Exchange de ataques y dar a los administradores más tiempo para instalar parches completos cuando Microsoft los publique.. El hecho es que recientemente las vulnerabilidades de día cero en Microsoft Exchange han sido explotadas regularmente por «piratas informáticos del gobierno», así como por grupos que persiguen ganancias financieras.
Por ejemplo, Hace poco escribí sobre Estados Unidos y Reino Unido acusaron a China de atacar servidores de Microsoft Exchange. Además, Los expertos de Sophos han descubierto el Epsilon Red ransomware que explota vulnerabilidades en servidores Microsoft Exchange atacar a otras máquinas en la red.
La nueva funcionalidad se llama Microsoft Exchange Emergency Mitigation (EM) y se basa en la herramienta de mitigación local de Exchange. (EOMT), lanzado en marzo de este año para ayudar a identificar y solucionar problemas de ProxyLogon.
EM se ejecuta como un servicio de Windows en servidores de buzones de Exchange y se instalará automáticamente en Exchange Server. 2016 y servidor Exchange 2019 servidores de buzones de correo después de septiembre 2021 actualización acumulativa (o mas nuevo) esta desplegado. Los administradores pueden desactivar EM si no quieren que Microsoft aplique automáticamente medidas de seguridad a sus servidores..
La nueva funcionalidad detectará servidores Exchange que son vulnerables a uno o más problemas conocidos y les aplicará automáticamente medidas de mitigación temporales. (hasta que los administradores puedan aplicar parches completos).
Hasta ahora EM ofrece tres tipos de protección.:
- Una regla personalizada bloquea ciertos patrones de solicitudes HTTP maliciosas que podrían comprometer el servidor Exchange.
- deshabilitar el servicio vulnerable en el servidor Exchange;
- deshabilitar el grupo de aplicaciones vulnerables en el servidor Exchange.
Permítanme recordarles también que hablé del hecho de que Los piratas informáticos atacan los servidores de Microsoft Exchange en nombre de Brian Krebs.