O Microsoft Defender agora pode impedir automaticamente as explorações do Exchange Server
A Microsoft lançou uma atualização de segurança para o Defender Antivirus para mitigar a vulnerabilidade do CVE-2021-28655 Exchange Server por meio de uma configuração de reescrita de URL. O antivírus também fará a varredura do servidor e reverterá as alterações feitas por quaisquer ameaças conhecidas.
A empresa Redmond lançou vários patches de segurança depois que foi descoberto que os malfeitores estão usando quatro exploits de dia zero no Exchange Server para realizar ataques de ransomware. As explorações de segurança afetam o Microsoft Exchange Server 2013, 2016 e 2019.
O Microsoft Defender reduzirá as explorações do Exchange Server
Entre as quatro vulnerabilidades de dia zero, aquela que a Microsoft está corrigindo (CVE-2021-28655) é a mais séria, pois atua como um ponto de entrada para as outras três explorações. A Microsoft diz que o Defender Antivirus avaliará automaticamente se um Exchange Server está vulnerável aos exploits e aplicará a correção, se necessário.
No entanto, a Microsoft também observa em seu blog de segurança que essa atenuação temporária é uma solução temporária, enquanto as empresas e empresas em todo o mundo gastam seu tempo para instalar a atualização cumulativa do Exchange mais recente, pois só ela resolverá completamente as vulnerabilidades.
A atualização de segurança do Exchange ainda é a maneira mais abrangente de proteger seus servidores contra esses ataques e outros corrigidos em versões anteriores. Essa atenuação temporária foi projetada para ajudar a proteger os clientes enquanto eles implementam a atualização cumulativa do Exchange mais recente para sua versão do Exchange.
Se você tiver o Microsoft Defender instalado em seu Exchange Server com atualizações automáticas de definição habilitadas, a atenuação será aplicada automaticamente. Se sua organização gerencia as atualizações de definição do Microsoft Defender, eles precisam garantir que a nova compilação de detecção (1.333.747.0 ou mais recente) seja implantada no Exchange Server.
Caso você não use o Microsoft Defender, você pode usar a ferramenta de mitigação de um único clique que a Microsoft lançou para os servidores Exchange na semana passada para se proteger contra a vulnerabilidade ProxyLogon que afeta dezenas de milhares de seus clientes.
Os servidores Microsoft Exchange em todo o mundo estão sendo submetidos a ataques de ransomware
Desde que o grupo de hackers Hafnium explorou pela primeira vez a vulnerabilidade ProxyLogon, os servidores Microsoft Exchange em todo o mundo têm sido alvo de ataques de ransomware. O problema é tão sério que aHomeland Security declarou o ataque do Microsoft Exchange como uma "emergência".
O grupo Hafnium combinou as quatro vulnerabilidades de dia zero em um vetor de ataque. Ele permite que o invasor atinja um servidor com malware de mineração de criptografia, shells da web e até mesmo o ransomware DearCry.
A Acer também foi atingida por um ataque de ransomware de $ 50 milhões do grupo REvil ransomware, que usou os mesmos exploits do Exchange Server.
