- A Microsoft Exchange új funkciója csökkenti a magas kockázatú hibákat.
- A frissítés több sebezhetőség kihasználása után következik.
- Az új szerver egy opcionális szolgáltatás, amely letiltható.
A Microsoft új Exchange-szolgáltatást vezetett be a támadásokkal szembeni magas kockázatnak kitett szerverek védelmére átmeneti enyhítések alkalmazásával. Az új funkció célja, hogy több időt nyerjen, és lehetővé tegye a rendszergazdák számára a biztonsági frissítések alkalmazását, mielőtt a támadók kihasználnák a biztonsági rést.
A közelmúltban több Microsoft Exchange nulladik nap a sebezhetőségeket kihasználták és kockázatnak tette ki a szervereket, mivel az adminisztrátoroknak nem maradt javításuk, és nem volt mód a szerverek védelmére.
Automatizált védelem
Azoknak az ügyfeleknek, akik ki vannak téve a ProxyLogon hibák, az Exchange Server enyhítést kínál az EOMT-re építve, és minimalizálja a támadást.
Úgy működik, hogy észleli a magas kockázatnak vagy ismert fenyegetéseknek kitett Exchange-kiszolgálókat. Windows szolgáltatáson fut az Exchange Mailbox kiszolgálókon, és automatikusan települ a Mailbox kiszolgálókra.
Bár a mérséklő technika védelmet nyújt, ez csak átmeneti és korlátozott ideig, amíg a biztonsági rést kijavító biztonsági frissítések telepítésre nem kerülnek.
Mérséklés alkalmazott
Az Exchange szolgáltatás háromféle csökkentést alkalmaz;
- IIS URL újraírási szabály enyhítése: ez egy olyan szabály, amely blokkolja a HTTP kérések ismert rosszindulatú mintáit, amelyek veszélyt jelentenek az Exchange szerverre.
- Exchange szolgáltatás mérséklése: észlel és letilt egy sebezhető szolgáltatást az Exchange-kiszolgálón.
- App Pool mérséklése: letilt minden sebezhető alkalmazáskészletet az Exchange-kiszolgálón.
A Microsoft Exchange Server legújabb funkciója csökkenti a magas kockázatú hibákat https://t.co/iOGc1Dozcppic.twitter.com/iqEbUvjOK5
— E Hacking News (@EHackerNews) 2021. szeptember 29
Az Exchange Server letiltható
Ahogy fentebb említettük, az enyhítés csak ideiglenes, amíg a biztonsági frissítést nem lehet telepíteni. A szerver tehát nem helyettesíti, hanem csak gyors módszert kínál a magas kockázatú sebezhetőségek kezelésére. Ha az adminisztrátorok nem akarják, hogy az automatikus csökkentéseket alkalmazzák a szervereiken, akkor letilthatják az EM szolgáltatást.
Vannak más vezérléssel alkalmazott mérséklések is, ha nem kívánják használni ezt az adott EM szolgáltatást. A mérséklések általában csökkentik a szerver funkcionalitását, ezért csak nagy hatású vagy magas kockázatú problémák esetén javasolt.
Mi a véleményed az ilyen jellegű enyhítésekről? Automatikusnak kell lenniük? Hagyjon megjegyzést lent.
