Защитник Microsoft теперь может автоматически предотвращать эксплойты Exchange Server
Microsoft выпустила обновление безопасности для Defender Antivirus, чтобы уменьшить уязвимость сервера Exchange CVE-2021-28655 с помощью конфигурации перезаписи URL. Антивирус также просканирует сервер и отменит изменения, внесенные любыми известными угрозами.
Компания Redmond выпустила несколько исправлений безопасности после того, как было обнаружено, что злоумышленники используют четыре эксплойта нулевого дня в Exchange Server для проведения атак программ-вымогателей. Эксплойты безопасности влияют на Microsoft Exchange Server 2013, 2016 и 2019.
Защитник Microsoft защитит Exchange Server от эксплойтов
Среди четырех уязвимостей нулевого дня та, которую Microsoft исправляет (CVE-2021-28655), является наиболее серьезной, поскольку она действует как точка входа для трех других эксплойтов. Microsoft заявляет, что антивирус Defender автоматически оценит уязвимость Exchange Server для эксплойтов и при необходимости применит исправление.
Однако Microsoft также отмечает в своем блоге по безопасности, что это временное решение является временным решением, в то время как предприятия и предприятия по всему миру не торопятся, чтобы установить последнее накопительное обновление Exchange, поскольку только оно полностью устранит уязвимости.
Обновление безопасности Exchange по-прежнему является наиболее полным способом защиты ваших серверов от этих и других атак, исправленных в более ранних выпусках. Это временное решение предназначено для защиты клиентов, пока они не торопятся внедрять последнее накопительное обновление Exchange для своей версии Exchange.
Если на вашем сервере Exchange установлен Microsoft Defender с включенным автоматическим обновлением определений, смягчение последствий будет применено автоматически. Если ваша организация управляет обновлениями определений Microsoft Defender, им необходимо обеспечить развертывание новой сборки обнаружения (1.333.747.0 или новее) на сервере Exchange.
В случае, если вы не используете Microsoft Defender, вы можете использовать средство устранения рисков одним щелчком, которое Microsoft выпустила для серверов Exchange на прошлой неделе, чтобы защитить от уязвимости ProxyLogon, затрагивающей десятки тысяч ее клиентов.
Серверы Microsoft Exchange по всему миру подвергаются атакам программ-вымогателей
С тех пор, как хакерская группа Hafnium впервые воспользовалась уязвимостью ProxyLogon, серверы Microsoft Exchange по всему миру стали объектом атак программ-вымогателей. Проблема настолько серьезна, чтоСлужба национальной безопасности объявила атаку Microsoft Exchange «чрезвычайной».
Группа Hafnium объединила четыре уязвимости нулевого дня в вектор атаки. Это позволяет злоумышленнику атаковать сервер с помощью вредоносного ПО для майнинга криптовалют, веб-оболочки и даже программы-вымогателя DearCry.
Acer также подверглась атаке вымогателей на сумму 50 миллионов долларов, совершенной группой вымогателей REvil, использовавшей те же эксплойты Exchange Server.