Microsoft Defender peut désormais empêcher automatiquement les exploits d’Exchange Server
Microsoft a déployé une mise à jour de sécurité pour Defender Antivirus afin d'atténuer la vulnérabilité d'Exchange Server CVE-2021-28655 via une configuration de réécriture d'URL. L'antivirus analysera également le serveur et annulera les modifications apportées par les menaces connues.
La société de Redmond a déployé plusieurs correctifs de sécurité après avoir découvert que de mauvais acteurs utilisaient quatre exploits zero-day dans Exchange Server pour mener des attaques de ransomware. Les failles de sécurité affectent Microsoft Exchange Server 2013, 2016 et 2019.
Microsoft Defender atténuera les exploits d'Exchange Server
Parmi les quatre vulnérabilités zero-day, celle que Microsoft corrige (CVE-2021-28655) est la plus grave car elle sert de point d'entrée pour les trois autres exploits. Microsoft dit que Defender Antivirus évaluera automatiquement si un serveur Exchange est vulnérable aux exploits et appliquera le correctif si nécessaire.
Cependant, Microsoft note également sur son blog sur la sécurité que cette atténuation provisoire est une solution temporaire tandis que les entreprises du monde entier prennent leur temps pour installer la dernière mise à jour cumulative d'Exchange, car seule cela corrigera complètement les vulnérabilités.
La mise à jour de sécurité d'Exchange reste le moyen le plus complet de protéger vos serveurs contre ces attaques et d'autres corrigées dans les versions précédentes. Cette atténuation provisoire est conçue pour aider à protéger les clients pendant qu'ils prennent le temps d'implémenter la dernière mise à jour cumulative d'Exchange pour leur version d'Exchange.
Si Microsoft Defender est installé sur votre serveur Exchange avec les mises à jour de définition automatiques activées, l'atténuation sera automatiquement appliquée. Si votre organisation gère les mises à jour de définition de Microsoft Defender, elle doit s'assurer que la nouvelle version de détection (1.333.747.0 ou plus récente) est déployée sur le serveur Exchange.
Si vous n'utilisez pas Microsoft Defender, vous pouvez utiliser l' outil d'atténuation en un seul clic que Microsoft a publié pour les serveurs Exchange la semaine dernière pour vous protéger contre la vulnérabilité ProxyLogon affectant des dizaines de milliers de ses clients.
Les serveurs Microsoft Exchange du monde entier font l'objet d'attaques de ransomware
Depuis que le groupe de piratage Hafnium a exploité pour la première fois la vulnérabilité ProxyLogon, les serveurs Microsoft Exchange du monde entier ont fait l'objet d'attaques de ransomwares. Le problème est si grave queHomeland Security a déclaré l'attaque de Microsoft Exchange une «urgence».
Le groupe Hafnium a combiné les quatre vulnérabilités zero-day en un vecteur d'attaque. Il permet à l'attaquant de cibler un serveur avec des logiciels malveillants de crypto mining, des shells Web et même le ransomware DearCry.
Acer a également été frappé par une attaque de ransomware de 50 millions de dollars du groupe de rançongiciels REvil, qui a utilisé les mêmes exploits Exchange Server.