微软敦促客户通过应用最新支持的累积更新 (CU) 来为他们的本地 Exchange 服务器打补丁,让他们随时准备部署紧急安全更新。
Exchange 服务器更新过程是“直接的”(许多管理员可能不同意这一点)并建议在安装更新后始终运行 Exchange 服务器健康检查程序脚本。
这有助于检测已知会导致性能问题或可通过简单的 Exchange 环境配置更改修复的常见配置问题。如果发现任何问题,该脚本会提供指向文章的链接,其中包含针对需要执行的任何其他手动任务的分步指导。
为了保护您的 Exchange 服务器免受利用已知漏洞的攻击,您必须安装最新的支持 CU(截至撰写本文时,CU12 用于 Exchange Server 2019,CU23 用于 Exchange Server 2016,CU23 用于 Exchange Server 2013)和最新的 SU(在撰写本文时,即2023 年 1 月的 SU)。
Exchange Server CU和SU是累积的,所以你只需要安装最新的可用的。你安装最新的CU,然后看看CU发布后是否有任何SU发布。如果有,安装最新的(最新的)SU 。
微软还要求 Exchange 管理员提供有关如何通过“更新体验调查”改进 Exchange Server 更新过程的信息。
这项调查的目的是了解您的 Exchange Server 累积更新 (CU) 和安全更新 (SU) 体验,以便我们可以寻找改善体验的方法并帮助您使服务器保持最新状态。
本次调查中收集的信息将仅供 Microsoft 的 Exchange Server 工程团队使用,并且仅用于改善更新体验。
一些威胁行为者在将 Exchange 服务器作为目标时的目标包括获取对用户邮箱中敏感信息的访问权限、公司的地址簿(这将有助于使社会工程攻击更加有效)以及组织的 Active Directory 和连接的云环境。
不幸的是,Exchange 服务器是非常抢手的目标,正如 FIN7 网络犯罪集团努力创建一个名为 Checkmarks 的自定义自动攻击平台的努力所证明的那样,该平台专门设计用于帮助破坏 Exchange 服务器。
据威胁情报公司 Prodaft 称,在扫描超过 180 万个目标后,FIN7 的新平台已经被用于破坏 8147 家公司(其中大部分位于美国)的网络。
警告是在微软还要求管理员在发布紧急带外安全更新以解决在官方补丁发布前两个月被攻击利用的 ProxyLogon 漏洞后不断修补本地 Exchange 服务器之后发出的。
2021 年 3 月,至少有 10 个黑客组织出于各种目的使用 ProxyLogon 漏洞。
为了显示暴露于此类攻击的大量组织,荷兰漏洞披露研究所 (DIVD)在 微软发布安全更新一周后发现有 46000 台服务器未针对 ProxyLogon 漏洞打补丁。
最近,在 2022 年 11 月,Microsoft修补了另一组称为 ProxyNotShell 的 Exchange 错误,这些错误允许在首次检测到野外利用两个月后在受感染的服务器上进行权限提升和远程代码执行。
ProxyNotShell 安全更新发布一周后,攻击者用于后门 Exchange 服务器的概念验证 (PoC) 漏洞在网上发布。
最后但并非最不重要的一点是,CISA命令联邦机构修补一个名为OWASSRF并被 Play 勒索软件团伙滥用为零日漏洞的 Microsoft Exchange 漏洞,以绕过属于德克萨斯州云计算提供商 Rackspace 的未修补服务器上的 ProxyNotShell URL 重写缓解措施。
这进一步表明遵循微软建议在所有本地 Exchange 服务器上部署最新支持的 CU 的重要性,因为仅靠缓解措施不一定能抵御有动机且资源充足的攻击者,因为它们只能提供临时保护。
客观地说,本月早些时候,安全研究人员发现,超过 60000 台在线暴露的 Microsoft Exchange 服务器仍然容易受到利用针对 CVE-2022-41082 远程代码执行 (RCE) 漏洞的 ProxyNotShell 攻击的攻击。
更糟糕的是,对 Shodan 的搜索显示有相当多的 Exchange 服务器在线暴露,仍有数千台服务器等待保护以免受针对 ProxyShell 和 ProxyLogon 漏洞的攻击,这些漏洞是 2021 年最常被利用的漏洞之一。