微软敦促管理员修补本地 Exchange 服务器

Microsoft 今天敦促客户通过应用最新的受支持的累积更新 (CU) 来为他们的本地 Exchange 服务器打补丁，以便他们随时准备好部署紧急安全更新。

Redmond 表示 Exchange 服务器更新过程“简单明了”（许多管理员可能不同意这一点）并建议在安装更新后始终运行 Exchange Server Health Checker 脚本。

这有助于检测已知会导致性能问题或可以通过简单的 Exchange 环境配置更改来修复的常见配置问题。 如果发现任何问题，该脚本会提供文章链接，并为需要执行的任何其他手动任务提供分步指导。

“要保护您的 Exchange 服务器免受利用已知漏洞的攻击，您必须安装最新的受支持 CU（截至撰写本文时，CU12 用于 Exchange Server 2019、CU23 用于 Exchange Server 2016，以及 CU23 适用于 Exchange Server 2013）和最新的 SU（截至撰写本文时为 2023 年 1 月的 SU），”Exchange 团队说。

“Exchange Server CU 和 SU 是累积的，所以你只需要安装最新的可用的。你安装最新的 CU，然后查看 CU 发布后是否有任何 SU 发布。如果有，请安装最新的 ( 最新）SU。”

Microsoft 还要求 Exchange 管理员提供有关如何通过“更新体验调查”改进 Exchange Server 更新过程的信息。

“这项调查的目的是了解您的 Exchange Server 累积更新 (CU) 和安全更新 (SU) 体验，以便我们可以寻找改善体验的方法并帮助您使服务器保持最新状态，” 公司说。

“本次调查中收集的信息将仅供 Microsoft 的 Exchange Server 工程团队使用，并且仅用于改善更新体验。”

一些威胁行为者在将 Exchange 服务器作为目标时的目标包括获取对用户邮箱中敏感信息、公司地址簿（这将有助于使社会工程攻击更加有效）以及组织的 Active Directory 和连接的云环境中的敏感信息的访问权限。

不幸的是，Exchange 服务器是非常抢手的目标，FIN7 网络犯罪集团努力创建一个名为 Checkmarks 的自定义自动攻击平台，专门用于帮助破坏 Exchange 服务器。

据威胁情报公司 Prodaft 称，在扫描了超过 180 万个目标后，FIN7 的新平台已被用于破坏 8,147 家公司（其中大部分位于美国）的网络。

数以万计的 Exchange 服务器等待保护

今天的警告是在 Microsoft 还要求管理员在发布紧急带外安全更新以解决在官方补丁发布前两个月被攻击利用的 ProxyLogon 漏洞后不断修补本地 Exchange 服务器之后发出的。

2021 年 3 月，至少有 10 个黑客组织出于各种目的使用 ProxyLogon 漏洞，其中一个是中国赞助的威胁组织，被微软追踪为 Hafnium。

为了显示暴露于此类攻击的大量组织，荷兰漏洞披露研究所 (DIVD) 在 Microsoft 发布安全更新一周后发现有 46,000 台服务器未针对 ProxyLogon 错误打补丁。

最近，在 2022 年 11 月，Microsoft 修补了另一组称为 ProxyNotShell 的 Exchange 错误，这些错误允许在首次检测到野外利用两个月后在受感染的服务器上进行权限提升和远程代码执行。

ProxyNotShell 安全更新发布一周后，攻击者用于后门 Exchange 服务器的概念验证 (PoC) 漏洞已在线发布。

最后但同样重要的是，CISA 下令联邦机构修补一个名为 OWASSRF 并被 Play 勒索软件团伙滥用为零日漏洞的 Microsoft Exchange 漏洞，以绕过属于德克萨斯州云计算提供商 Rackspace 的未修补服务器上的 ProxyNotShell URL 重写缓解措施 .

这进一步表明遵循 Microsoft 建议在所有本地 Exchange 服务器上部署最新支持的 CU 的重要性，因为仅靠缓解措施不一定能抵御有动机且资源充足的攻击者，因为它们只能提供临时保护。

本月早些时候，Shadowserver Foundation 的安全研究人员发现，超过 60,000 台在线暴露的 Microsoft Exchange 服务器仍然容易受到利用针对 CVE-2022-41082 远程代码执行 (RCE) 漏洞的 ProxyNotShell 攻击的攻击 .

更糟糕的是，对 Shodan 的搜索显示有相当多的 Exchange 服务器在线暴露，仍有数千台服务器等待保护以免受针对 ProxyShell 和 ProxyLogon 漏洞的攻击，这些漏洞是 2021 年最常被利用的漏洞之一。