По информации Bleeping Computer, Microsoft выпустила обновления безопасности для Exchange Server 2016 и 2019 с неподдерживаемыми (устаревшими) версиями накопительных обновлений (Cumulative Update, CU), которые уязвимы для атаки ProxyLogon.
Эти дополнительные обновления безопасности предназначены для установки только на версии Exchange Server, которые не поддерживаются последними экстренными патчами безопасности, выпущенными неделю назад. Согласно политике Microsoft, компания поддерживает версии Exchange Server, где установлены два последних CU. По разным причинам компании не всегда вовремя обновляют свои почтовые сервера. В ситуации с глобальной атакой ProxyLogon, которая до сих пор продолжается, Microsoft пришлось отойти от своих принципов безопасности.
Microsoft уточнила, что эти обновления нужно устанавливать, если системный администратор не может обновить Exchange Server до поддерживаемой версии штатными средствами.
«Это реализовано только как временная мера, чтобы помочь системным аминистраторам защитить уязвимые сервера прямо сейчас. Настоятельно рекомендуем обновить Exchange Server до последней поддерживаемой версии CU, а затем применить соответствующие SU» — пояснили в своем блоге специалисты команды Exchange.
Ссылки на новые обновления для работающих и не поддерживаемых Microsoft почтовых серверов Exchange Server для защиты от атаки ProxyLogon:
- Exchange Server 2016 Cumulative Update 14;
- Exchange Server 2016 Cumulative Update 15;
- Exchange Server 2016 Cumulative Update 16;
- Exchange Server 2019 Cumulative Update 4;
- Exchange Server 2019 Cumulative Update 5;
- Exchange Server 2019 Cumulative Update 6.
Microsoft пояснила, что после скачивания обновлений системный администратор должен установить их с помощью командной строки под учетной записью с необходимыми повышенными привилегиями. Перед этим им должно быть временно отключено антивирусное программное обеспечение на уровне файлов. После установки обновлений безопасности нужно включить антивирусное ПО и перезагрузить сервер.
6 марта 2021 года Microsoft обновила утилиту Safety Scanner. Последняя версия автономного инструмента безопасности Microsoft Support Emergency Response Tool (MSERT) может обнаруживать зловредные веб-оболочки (средства удаленного доступа, Web Shell), установленные злоумышленниками внутри почтовых серверов компаний в рамках недавней (и еще продолжающейся на непропатченные Exchange Server 2013/2016/2019) сетевой атаки на сотни тысяч серверов Exchange по всему миру. Для ее проведения хакеры использовали цепочку уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
7 марта Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon