尽管距SolarWinds供应链已经著名的攻击仅几个月,但我们还是不得不写另一个与Microsoft Exchange Server有关的黑客问题。
在这种情况下, Microsoft Exchange Server 2013、2016和2019中发现的零日漏洞 允许攻击者利用本地Exchange Server来利用它们对多个组织和企业产生影响,这些Exchange Server支持访问电子邮件帐户,甚至安装恶意软件以允许长期访问此类服务器。 Microsoft发现了来自Hafnium组的攻击,但是,由于这些攻击已经公开,因此其他人可能一直在使用这些0天攻击程序。
这些漏洞已经通过代码CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065进行了注册和记录,并且所有这些地址都已得到解决,因此强烈建议客户紧急更新。 。
如果您担心这些攻击,我们建议您实施高可用性解决方案以及Web应用程序防火墙以缓解这些攻击,例如ZEVENET解决方案。 如果无法进行Exchange Server更新,Microsoft建议实施以下操作 缓解:
1. 受信任的用户缓解:仅通过VPN服务可访问受信任用户的Microsoft Exchange Server。
2. 后端Cookie缓解:实施Web应用程序防火墙规则以使用过滤恶意HTTPS请求 X-AnonResource-后端 并且畸形 X-BE资源 标头中使用的Cookie SSRF 攻击。
3. 统一消息缓解:禁用UM
4. Exchange控制面板缓解:禁用ECP VDir
5. 脱机通讯簿缓解:禁用OAB VDir
在ZEVENET,我们一直在努力通过WAF模块和全新的VPN服务轻松实现这些功能。 此外,可以使用ZEVENET实现Exchange Server的高可用性,附加安全性和负载平衡:
不用怀疑 立即联系我们 了解有关如何实施这些缓解措施的更多信息!
与这些Microsoft漏洞相关的官方信息:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
