- Er is een nieuwe Microsoft Exchange-functie die risicovolle bugs verzacht.
- De update volgt nadat meerdere kwetsbaarheden zijn uitgebuit.
- De nieuwe server is een optionele functie die kan worden uitgeschakeld.
Microsoft heeft een nieuwe Exchange-functie geïmplementeerd om servers met een hoog risico op aanvallen te beveiligen door tijdelijke maatregelen toe te passen. De nieuwe functie is bedoeld om meer tijd te winnen en beheerders in staat te stellen beveiligingsupdates toe te passen voordat aanvallers het beveiligingslek misbruiken.
Onlangs hebben meerdere Microsoft Exchange zero-day kwetsbaarheden werden uitgebuit en stelde de servers bloot aan risico's, terwijl de beheerders geen patch hadden en geen manier om de servers te beveiligen.
Geautomatiseerde bescherming
Voor klanten die worden blootgesteld aan de ProxyLogon-bugs, de Exchange Server biedt mitigatie door voort te bouwen op de EOMT en minimaliseert de aanval.
Het werkt door de Exchange-servers te detecteren die zijn blootgesteld aan een hoog risico of bekende bedreigingen. Het draait op Windows-service op Exchange Mailbox-servers en wordt automatisch geïnstalleerd op Mailbox-servers.
Hoewel de mitigatietechniek bescherming biedt, is het slechts tijdelijk en voor een beperkte tijd totdat de beveiligingsupdates zijn geïnstalleerd om het beveiligingslek te verhelpen.
Mitigatie toegepast
De Exchange-service past drie soorten mitigaties toe;
- Beperking van IIS-URL Herschrijfregel: dit is een regel die bekende kwaadaardige patronen van HTTP-verzoeken blokkeert die een gevaar vormen voor de uitwisselingsserver.
- Beperking van de omruilservice: detecteert en schakelt een kwetsbare service op een Exchange-server uit.
- Beperking van app-pool: schakelt elke kwetsbare app-pool op een Exchange-server uit.
Nieuwste Microsoft Exchange Server-functie verkleint risicovolle bugs https://t.co/iOGc1Dozcppic.twitter.com/iqEbUvjOK5
— E Hacking Nieuws (@EHackerNews) 29 september 2021
Exchange Server kan worden uitgeschakeld
Zoals hierboven vermeld, is de beperking slechts tijdelijk totdat de beveiligingsupdate kan worden geïnstalleerd. De server is dus geen vervanging, maar biedt alleen een snelle methode om risicovolle kwetsbaarheden aan te pakken. Als beheerders niet willen dat automatische beperking op hun servers wordt toegepast, kunnen ze ervoor kiezen de EM-service uit te schakelen.
Er zijn ook andere beheersmaatregelen die worden toegepast als ze deze specifieke EM-service niet willen gebruiken. Beperkingen hebben de neiging om de serverfunctionaliteit te verminderen en worden daarom alleen aanbevolen voor problemen met een hoge impact of met een hoog risico.
Wat vindt u van dit soort mitigaties? Moeten ze automatisch? Laat hieronder een reactie achter.
