Компания Microsoft добавила новую функцию в Exchange Server, которая позволит автоматически принимать меры по устранению высокорисковых уязвимостей (которые, скорее всего, уже используют хакеры).
Это должно защитить серверы Exchange атак и дать администраторам больше времени на установку полноценных патчей, когда Microsoft их выпустит. Дело в том, что уязвимости нулевого дня в Microsoft Exchange в последнее время регулярно используются «правительственными хакерами», а также группировками, преследующими финансовую выгоду.
Новая функциональность получила название Microsoft Exchange Emergency Mitigation (EM) и основана на инструменте Exchange On-premises Mitigation Tool (EOMT), выпущенном в марте текущего года для помощи в обнаружении и исправлении проблем ProxyLogon.
EM работает как служба Windows на серверах Exchange Mailbox и будет автоматически установлена на Mailbox-серверы Exchange Server 2016 и Exchange Server 2019 после развертывания накопительного обновления за сентябрь 2021 года (или новее). Администраторы смогут отключить EM, если не захотят, чтобы Microsoft автоматически применяла защитные меры к их серверам.
Новая функциональность будет обнаруживать серверы Exchange, уязвимые для одной или нескольких известных проблем, и автоматически применит к ним временные меры по смягчению уязвимостей (пока администраторы не смогут установить полноценные патчи). Пока EM предлагает три вида защиты:
- специальное правило блокирует определенные шаблоны вредоносных HTTP-запросов, которые могут поставить под угрозу сервер Exchange;
- отключение уязвимой службы на сервере Exchange;
- отключение уязвимого пула приложений на сервере Exchange.
«Новая служба не заменит собой установку обновлений безопасности на Exchange Server, но это наиболее быстрый и простой способ снизить самые высокие риски для подключенных к интернету локальных серверов Exchange перед установкой соответствующих исправлений», — пишут разработчики.