- Der er en ny Microsoft Exchange-funktion, der afbøder højrisikofejl.
- Opdateringen følger efter at flere sårbarheder er blevet udnyttet.
- Den nye server er en valgfri funktion, der kan deaktiveres.
Microsoft har implementeret en ny Exchange-funktion til at sikre servere med høj risiko mod angreb ved at anvende midlertidige begrænsninger. Den nye funktion har til formål at købe mere tid og give administratorer mulighed for at anvende sikkerhedsopdateringer, før angribere udnytter sårbarheden.
For nylig, flere Microsoft Exchange nul-dage sårbarheder blev udnyttet og udsatte serverne for risiko, hvor admins stod tilbage uden nogen patch og ingen måde at sikre serverne på.
Automatiseret beskyttelse
For kunder, der er udsat for ProxyLogon-fejl, Exchange-serveren tilbyder afbødning ved at bygge op på EOMT og minimerer angrebet.
Det virker ved at detektere Exchange-servere, der er udsat for høj risiko eller kendte trusler. Det kører på Windows-tjenesten på Exchange Mailbox-servere og vil automatisk blive installeret på Mailbox-servere.
Selvom afbødningsteknikken tilbyder beskyttelse, er den kun midlertidig og i en begrænset periode, indtil sikkerhedsopdateringerne til at løse sårbarheden er installeret.
Afbødning anvendt
Exchange-tjenesten anvender tre typer af afbødninger;
- IIS URL Rewrite-regelbegrænsning: dette er en regel, der blokerer kendte ondsindede mønstre af HTTP-anmodninger, der udgør en fare for udvekslingsserveren.
- Reduktion af udvekslingstjeneste: registrerer og deaktiverer en sårbar tjeneste på en Exchange-server.
- App Pool afbødning: deaktiverer enhver sårbar app-pool på en Exchange-server.
Exchange Server kan deaktiveres
Som nævnt ovenfor er begrænsningen kun midlertidig, indtil sikkerhedsopdateringen kan installeres. Serveren er derfor ikke en erstatning, men tilbyder kun en hurtig metode til at adressere højrisiko sårbarheder. Hvis administratorer ikke ønsker, at der anvendes automatiske begrænsninger på deres servere, kan de vælge at deaktivere EM-tjenesten.
Der er også andre kontrolanvendte begrænsninger, hvis de ikke ønsker at bruge denne særlige EM-tjeneste. Afhjælpninger har en tendens til at reducere serverfunktionalitet og anbefales derfor kun til problemer med høj indvirkning eller høj risiko.
Hvad synes du om sådanne former for afhjælpning? Skal de være automatiske? Efterlad en kommentar nedenfor.