微软警告企业和IT管理员,黑客仍然在寻找并入侵尚未修补漏洞的Exchange服务器,呼吁用户尽快更新Exchange服务器软件。
微软指出,滥用未修补Exchange服务器的攻击者从未远离。未修补的本地部署Exchange环境有太多方面是攻击者下手的好目标。一来,邮件信箱有许多重要及敏感资料。二来,每个Exchange服务器都有公司联系人资料,蕴藏大量社交工程攻击的资讯。第三,Exchange和Active Directory和混合环境集成密切,拥有许多核准权限,也可访问云计算环境。
为防范Exchange服务器的已知漏洞遭到滥用,微软呼吁企业及Exchange服务器管理员安装最新己支持的累计更新,及最新的安全更新。目前Exchange Server 2013、2016最新累计为CU23,2019最新累计更新为CU12。最新安全更新则为2023年1月(Patch Tuesday)。由于累计更新和安全更新都是累计性的,用户只需安装最新版本即可。
不过安装完更新后,管理员还是有很多地方需要手动执行,微软建议管理员最好执行Health Checker,这功能可提供连向步骤化指引的文章。此外,微软提醒管理员,有时微软通过自动化的Exchange紧急缓解服务(Exchange Emergency Mitigation Service)或手动的Exchange本地部署缓解工具发布的紧急修补程序,这些只能提供部分防护,因此用户还是必须安装安全更新以求完备防护。
安全研究人员不断发现微软Exchange Server的漏洞,从2021年初的ProxyLogon(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)、同年7月的ProxyShell(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207),到去年9月的ProxyNotShell漏洞(CVE-2022-41082、CVE-2022-41040),都成为各路国家黑客及犯罪组织、勒索软件滥用的目标。今年初安全研究人员发现,全球仍有6万多台Exchange Server服务器尚未修补。