- Det er en ny Microsoft Exchange-funksjon som reduserer høyrisikofeil.
- Oppdateringen følger etter at flere sårbarheter ble utnyttet.
- Den nye serveren er en valgfri funksjon som kan deaktiveres.
![](/f/92f59e4bae82995a0417a7d606d31a9e.jpg)
Microsoft har implementert en ny Exchange-funksjon for å sikre servere med høy risiko mot angrep ved å bruke midlertidige avgrensninger. Den nye funksjonen tar sikte på å kjøpe mer tid og la administratorer bruke sikkerhetsoppdateringer før angripere utnytter sårbarheten.
Nylig flere Microsoft Exchange zero-day sårbarheter ble utnyttet og utsatte serverne for risiko, med admins igjen uten oppdatering og ingen måte å sikre serverne på.
Automatisert beskyttelse
For kunder som er utsatt for ProxyLogon-feil, tilbyr Exchange Server redusering ved å bygge opp på EOMT og minimerer angrepet.
Det fungerer ved å oppdage Exchange-servere som er utsatt for høyrisiko eller kjente trusler. Den kjører på Windows-tjenesten på Exchange Mailbox-servere og vil automatisk installeres på Mailbox-servere.
Selv om avbøtningsteknikken tilbyr beskyttelse, er den bare midlertidig og i en begrenset periode inntil sikkerhetsoppdateringene for å fikse sikkerhetsproblemet er installert.
Avbøtende tiltak ble brukt
Exchange-tjenesten bruker tre typer avbøtende tiltak;
- IIS URL Rewrite-regelbegrensning: dette er en regel som blokkerer kjente ondsinnede mønstre av HTTP-forespørsler som utgjør en fare for utvekslingsserveren.
- Redusering av utvekslingstjenester: oppdager og deaktiverer en sårbar tjeneste på en Exchange-server.
- App Pool-reduksjon: deaktiverer enhver sårbar app-pool på en Exchange-server.
Siste Microsoft Exchange Server-funksjon reduserer høyrisikofeil https://t.co/iOGc1Dozcppic.twitter.com/iqEbUvjOK5
— E Hacking News (@EHackerNews) 29. september 2021
Exchange Server kan deaktiveres
Som nevnt ovenfor, er begrensningen bare midlertidig inntil sikkerhetsoppdateringen kan installeres. Serveren er derfor ikke en erstatning, men tilbyr bare en rask metode for å adressere høyrisikosårbarheter. Hvis administratorer ikke ønsker at automatiske avgrensninger skal brukes på deres servere, kan de velge å deaktivere EM-tjenesten.
Det er også andre kontroller som brukes hvis de ikke ønsker å bruke denne spesielle EM-tjenesten. Begrensninger har en tendens til å redusere serverfunksjonaliteten og anbefales derfor bare for problemer med høy innvirkning eller høy risiko.
Hva synes du om slike typer avbøtende tiltak? Skal de være automatiske? Legg igjen en kommentar nedenfor.