Firma Microsoft wydała narzędzie ograniczające ryzyko jednym kliknięciem, umożliwiające klientom, którzy mogą nie mieć dedykowanych zespołów ds. Bezpieczeństwa lub IT, stosowanie poprawek awaryjnych na lokalnych serwerach Exchange przeciwko luki w zabezpieczeniach ProxyLogon.
Redmond powiedział, że aktywnie współpracował z klientami za pośrednictwem swoich zespołów wsparcia, zewnętrznych dostawców hostingu i sieci partnerów dystrybucyjnych, aby pomóc im zabezpieczyć ich środowiska i reagować na zagrożenia wynikające z ataków wykorzystujących ProxyLogon – co rozpoczęło się za pośrednictwem powiązanej z państwem chińskiej grupy znanej jak hafn i od tego czasu rozprzestrzenić się daleko i szeroko do wykorzystania przez wielu innych, w tym gangów ransomware.
Na podstawie tych zobowiązań zespoły firmy Microsoft zdały sobie sprawę, że istnieje wyraźna potrzeba stworzenia „prostego, łatwego w użyciu, zautomatyzowanego” rozwiązania, które spełni potrzeby klientów korzystających z bieżących i nieobsługiwanych wersji na lokalnym serwerze Exchange.
Podczas testów we wdrożeniach Exchange Server 2013, 2016 i 2019 Microsoft powiedział, że nowe narzędzie miało służyć jako „tymczasowe ograniczenie” dla użytkowników, którzy niekoniecznie muszą znać standardowe procedury poprawek i aktualizacji lub którzy jeszcze nie zastosowali aktualizacji, który spadł 2 marca.
„Pobierając i uruchamiając to narzędzie, które zawiera najnowsze Microsoft Safety Scanner, klienci automatycznie złagodzą CVE-2021-26855 na dowolnym serwerze Exchange, na którym jest wdrożony ”- powiedział Microsoft w informacjach o wydaniu.
„To narzędzie nie zastępuje aktualizacji zabezpieczeń programu Exchange, ale jest najszybszym i najłatwiejszym sposobem ograniczenia najwyższego ryzyka związanego z lokalnymi serwerami Exchange połączonymi z Internetem przed wprowadzeniem poprawek”.
Użytkownicy, którzy chcą skorzystać z narzędzia, powinni pobierz ją z witryny Microsoft tutaji natychmiast uruchom je na swoich serwerach Exchange, przed postępowaniem zgodnie z ustalonymi tutaj wskazówkami. Użytkownicy, którzy już korzystają z programu Microsoft Safety Scanner, powinni nadal to robić, aby pomóc w dalszym ograniczaniu zagrożeń.
Po uruchomieniu nowe narzędzie będzie zapobiegać wykorzystywaniu znanych obecnie ataków CVE-2021-26855 – początkowy wektor wejścia, luka w zabezpieczeniach żądań po stronie serwera, która umożliwia złośliwemu aktorowi wysyłanie dowolnych żądań HTTP i uwierzytelnianie jako ich docelowy serwer Exchange – przy użyciu konfiguracji przepisywania adresu URL, przeskanuj serwer Exchange w poszukiwaniu problemów i próbuj cofnąć wszelkie zmiany które mogły spowodować zidentyfikowane zagrożenia. Nie powinno to wpływać na żadną funkcjonalność serwera Exchange.
Należy zauważyć, że to narzędzie jest skuteczne tylko w przypadku ataków i exploitów znanych do tej pory i nie gwarantuje naprawienia ataków, które mogą pojawić się w najbliższej przyszłości – dlatego powinno być używane tylko jako tymczasowa poprawka do czasu zastosowania pełnej aktualizacji. .
Microsoft zaleca go zamiast poprzedniego skryptu łagodzącego, ponieważ jest dostrojony w oparciu o aktualną inteligencję, ale jeśli zacząłeś używać poprzedniego, dodał jego eksperci, absolutnie w porządku jest zmienić na nowy.
Więcej informacji technicznych, przykładów i wskazówek dotyczących korzystania z narzędzia można znaleźć na GitHub.