Microsoft Defender自动缓解Exchange Server上的CVE-2021-2

Microsoft正在采取下一步措施，以确保本地Exchange安装的安全。Microsoft Defender不仅检测到由于ProxyLogon漏洞引起的系统感染。病毒扫描程序还可以自动检测易受攻击的系统，并关闭Exchange Server上的CVE-2021-26855漏洞。

数十万台Exchange服务器易受攻击

毕竟，在2021年3月开始时，我们已经知道本地Exchange Server 2013 – 1019版本中存在四个漏洞，这些漏洞允许通过接管来破坏安装。涉嫌与国家有联系的中国黑客组织Hafnium几个月来都设法利用这些漏洞渗透了本地Exchange Server。直到2021年3月2日，该漏洞才被安全更新所关闭。我已经在各种博客文章中对此漏洞进行了报道(请参阅文章结尾的链接)。

攻击者的目标是控制受害者的电子邮件，并可能通过Active Directory权限访问和渗透其网络基础结构。世界各地的管理员都在忙于保护Exchange服务器，这些服务器可以通过Internet通过端口443进行访问，并且容易受到攻击。自2021年2月下旬以来，一直在进行大规模扫描，以破坏易受攻击的Exchange服务器并安装Web Shell作为后门。安全供应商确定了170,000至280,000个潜在易受攻击的Exchange实例。

Microsoft确实发布了工具来检测受感染的Exchange系统。此外，过去两周来，9,000台Exchange服务器已在德国脱机，或者阻止了从Internet访问OWA。但是，在德国具有开放式OWA的56,000台Exchange服务器中，大约有12,000台仍然容易受到ProxyLogon的攻击。同时，网络犯罪分子和至少十个威胁行为者也通过漏洞来瞄准易受攻击的Exchange系统，并用勒索软件或加密矿工对其进行感染。

Microsoft已发布PowerShell脚本和工具来检测Exchange Server上的感染(请参阅本文结尾处的链接)并进行修复(Microsoft Exchange(本地)一键式缓解工具(EOMT)已发布)。但这可能不足以快速掌握Exchange Server实例。

Microsoft Defender加强Exchange安装

随着网络犯罪分子继续利用未修补的本地版本的Exchange Server 2013、2016和2019，Microsoft正在积极与客户和合作伙伴合作以帮助他们保护Exchange Server系统。除了安全更新和Microsoft Exchange(本地)一键缓解工具(EOMT)外，Windows Defender还能够检测到某些恶意软件。

Microsoft刚刚宣布，Microsoft Defender和System Center Endpoint Protection均已得到增强，可以自动缓解Exchange Server 2013-2019的未修补实例中的CVE-2021-26855漏洞。通过最新的安全智能更新，Microsoft Defender防病毒和System Center Endpoint Protection可以自动缓解所有易受攻击的Exchange服务器上的CVE-2021-26855漏洞。

所需要做的就是在Exchange服务器上安装上述防病毒程序之一。用户客户只需要确保已安装了最新的Security Intelligence Update(内部版本1.333.747.0或更高版本)就可以。如果启用了自动更新，此新版本将自动出现。

扫描将缓解CVE-2021-26855漏洞。此外，会对服务器进行扫描，然后将可能发现的已知攻击者的任何篡改撤消。此初步缓解措施旨在帮助客户保护自己，并留出时间为他们的版本安装最新的Exchange累积更新。