Microsoft ha aggiornato Microsoft Defender Antivirus e System Center Endpoint Protection per mitigare automaticamente CVE-2021-26855 sui server Exchange vulnerabili.
Secondo il gigante della tecnologia, la mitigazione è implementata da Microsoft Defender Antivirus poiché identifica automaticamente le versioni vulnerabili di Exchange Server la prima volta che viene distribuito un aggiornamento delle informazioni di sicurezza, che si verifica una volta per dispositivo.
La mitigazione è stata inclusa nell’ultimo aggiornamento delle informazioni sulla sicurezza, versione 1.333.747.0 o successiva, che deve essere installato manualmente se gli aggiornamenti automatici sono disattivati.
Tuttavia, l’inclusione della mitigazione della vulnerabilità non è la protezione finale contro la catena di attacchi, che include CVE-2021-26858, CVE-2021-26857 e CVE-2021-27065, piuttosto che progettata per fungere da soluzione temporanea per gli utenti durante l’implementazione degli ultimi aggiornamenti di sicurezza di Exchange.
La serie di attacchi è stata segnalata per la prima volta da Microsoft all’inizio di marzo, Quando ha identificato la società cinese sponsorizzata dallo stato Hafnium come il gruppo principale dietro gli exploit in quel momento.
La catena di exploit su larga scala inizia con un attore che ottiene l’accesso al server Exchange, con password rubate o attraverso vulnerabilità, apparendo come qualcuno con un accesso adeguato.
L’attore crea quindi una shell web per controllare in remoto il server compromesso. Questo accesso viene quindi utilizzato, dai server privati con sede negli Stati Uniti, per rubare i dati. Se gli utenti non dispongono di Microsoft Defender Antivirus, il gigante della tecnologia ha consigliato il Strumento di diradamento sul posto di lavoro, O EOMT, che è stato rilasciato la scorsa settimana il Github.
Lo script EOMT funziona utilizzando la configurazione URL Rewrite per mitigare gli attacchi noti con CVE-2021-26855. Quindi esegue la scansione del server Exchange con Microsoft Safety Scanner e tenta di annullare le modifiche apportate dalle minacce identificate.
Tag microsoft