Microsoft Defender kann jetzt Exchange Server-Exploits automatisch verhindern
Microsoft hat ein Sicherheitsupdate für Defender Antivirus eingeführt, um die Sicherheitsanfälligkeit in Exchange Server CVE-2021-28655 über eine URL Rewrite-Konfiguration zu verringern. Das Antivirenprogramm scannt auch den Server und macht Änderungen rückgängig, die durch bekannte Bedrohungen vorgenommen wurden.
Das Unternehmen in Redmond hat mehrere Sicherheitspatches eingeführt, nachdem festgestellt wurde, dass schlechte Akteure vier Zero-Day-Exploits in Exchange Server verwenden, um Ransomware-Angriffe auszuführen. Die Sicherheits-Exploits wirken sich auf Microsoft Exchange Server 2013, 2016 und 2019 aus.
Microsoft Defender verringert Exchange Server-Exploits
Unter den vier Zero-Day-Sicherheitslücken ist die von Microsoft gepatchte (CVE-2021-28655) die schwerwiegendste, da sie als Einstiegspunkt für die anderen drei Exploits fungiert. Laut Microsoft überprüft Defender Antivirus automatisch, ob ein Exchange Server für die Exploits anfällig ist, und wendet das Update bei Bedarf an.
Microsoft stellt in seinem Sicherheitsblog jedoch auch fest, dass diese vorläufige Schadensbegrenzung eine vorübergehende Lösung ist, während sich Unternehmen und Unternehmen weltweit Zeit nehmen, um das neueste kumulative Exchange-Update zu installieren, da nur dadurch die Sicherheitsanfälligkeiten vollständig behoben werden.
Das Exchange-Sicherheitsupdate ist nach wie vor die umfassendste Methode, um Ihre Server vor diesen und anderen Angriffen zu schützen, die in früheren Versionen behoben wurden. Diese vorläufige Schadensbegrenzung soll Kunden schützen, während sie sich die Zeit nehmen, das neueste kumulative Exchange-Update für ihre Exchange-Version zu implementieren.
Wenn Sie Microsoft Defender auf Ihrem Exchange Server mit aktivierten automatischen Definitionsaktualisierungen installiert haben, wird die Schadensbegrenzung automatisch angewendet. Wenn Ihre Organisation die Definitionsaktualisierungen von Microsoft Defender verwaltet, muss sichergestellt werden, dass der neue Erkennungsbuild (1.333.747.0 oder neuer) auf dem Exchange Server bereitgestellt wird.
Wenn Sie Microsoft Defender nicht verwenden, können Sie das von Microsoft letzte Woche für Exchange Server veröffentlichte Tool zur Schadensbegrenzung mit einem Klick verwenden, um sich vor der ProxyLogon-Sicherheitsanfälligkeit zu schützen, von der Zehntausende seiner Kunden betroffen sind.
Microsoft Exchange Server weltweit sind Ransomware-Angriffen ausgesetzt
Seit die Hafnium-Hacking-Gruppe die ProxyLogon-Sicherheitsanfälligkeit zum ersten Mal ausnutzte, waren Microsoft Exchange-Server weltweit Gegenstand von Ransomware-Angriffen. Das Problem ist so schwerwiegend, dass dieHeimatschutzbehörde den Microsoft Exchange-Angriff als "Notfall" deklariert hat.
Die Hafnium-Gruppe kombinierte die vier Zero-Day-Schwachstellen zu einem Angriffsvektor. Der Angreifer kann auf einen Server mit Crypto Mining-Malware, Web-Shells und sogar der DearCry-Ransomware abzielen.
Acer wurde auch von einem 50-Millionen-Dollar-Ransomware-Angriff der REvil-Ransomware-Gruppe getroffen, die dieselben Exchange Server-Exploits verwendete.