- C'è una nuova funzionalità di Microsoft Exchange che mitiga i bug ad alto rischio.
- L'aggiornamento segue dopo che sono state sfruttate più vulnerabilità.
- Il nuovo server è una funzionalità facoltativa che può essere disabilitata.
Microsoft ha implementato una nuova funzionalità di Exchange per proteggere i server ad alto rischio da attacchi applicando mitigazioni temporanee. La nuova funzionalità mira a guadagnare più tempo e consentire agli amministratori di applicare aggiornamenti di sicurezza prima che gli aggressori sfruttino la vulnerabilità.
Di recente, più zero-day di Microsoft Exchange vulnerabilità sono state sfruttate ed ha esposto i server a rischi, con gli amministratori rimasti senza patch e senza alcun modo per proteggere i server.
Protezione automatizzata
Per i clienti che sono esposti al Bug di ProxyLogon, Exchange Server offre mitigazione basandosi su EOMT e riduce al minimo l'attacco.
Funziona rilevando i server Exchange esposti ad alto rischio o minacce note. Funziona sul servizio Windows sui server Cassette postali di Exchange e verrà installato automaticamente sui server Cassette postali.
Sebbene la tecnica di mitigazione offra protezione, è solo temporanea e per un periodo di tempo limitato fino all'installazione degli aggiornamenti di sicurezza per correggere la vulnerabilità.
Mitigazione applicata
Il servizio di Exchange applica tre tipi di mitigazioni;
- Attenuazione della regola di riscrittura URL IIS: questa è una regola che blocca modelli dannosi noti di richieste HTTP che rappresentano un pericolo per il server di scambio.
- Mitigazione del servizio di scambio: rileva e disabilita un servizio vulnerabile su un server Exchange.
- Mitigazione del pool di app: disabilita qualsiasi pool di app vulnerabili su un server Exchange.
L'ultima funzionalità di Microsoft Exchange Server mitiga i bug ad alto rischio https://t.co/iOGc1Dozcppic.twitter.com/iqEbUvjOK5
— E Hacking Notizie (@EHackerNews) 29 settembre 2021
Exchange Server può essere disabilitato
Come detto sopra, la mitigazione è solo temporanea fino a quando non sarà possibile installare l'aggiornamento di sicurezza. Il server non è quindi un sostituto, ma offre solo un metodo rapido per affrontare le vulnerabilità ad alto rischio. Se gli amministratori non desiderano che le mitigazioni automatiche vengano applicate sui propri server, possono scegliere di disabilitare il servizio EM.
Esistono anche altre mitigazioni applicate al controllo se non desiderano utilizzare questo particolare servizio EM. Le mitigazioni tendono a ridurre la funzionalità del server, quindi sono consigliate solo per problemi ad alto impatto o ad alto rischio.
Cosa ne pensi di questo tipo di mitigazioni? Dovrebbero essere automatici? Lascia un commento in basso.
