Microsoft ha agregado una nueva función de Exchange Server que aplica automáticamente mitigaciones provisionales para fallas de seguridad de alto riesgo (y probablemente explotadas activamente) para proteger los servidores locales contra ataques entrantes y dar a los administradores más tiempo para aplicar actualizaciones de seguridad.
Esta actualización se produce después de que varias vulnerabilidades de día cero de Microsoft Exchange fueran explotadas por grupos de piratas informáticos patrocinados por el estado y motivados financieramente para comprometer servidores cuyos administradores no tenían información de parche o mitigación disponible.
Protección automatizada para servidores Exchange
El nuevo componente de Exchange Server, acertadamente llamado servicio Microsoft Exchange Emergency Mitigation (EM), se basa en la Herramienta de mitigación local de Exchange (EOMT) de Microsoft lanzada en marzo para ayudar a los clientes a minimizar la superficie de ataque expuesta por los errores de ProxyLogon.
EM se ejecuta como un servicio de Windows en los servidores de buzones de correo de Exchange y se instalará automáticamente en los servidores con la función de buzón de correo después de implementar la CU de septiembre de 2021 (o posterior) en Exchange Server 2016 o Exchange Server 2019.
Funciona detectando servidores Exchange vulnerables a una o más amenazas conocidas y aplica mitigaciones provisionales hasta que haya una actualización de seguridad disponible para que la instalen los administradores.
Las mitigaciones aplicadas automáticamente a través del servicio EM son arreglos temporales hasta que se pueda instalar la Actualización de seguridad que corrige la vulnerabilidad y no reemplazan las SU de Exchange.
Una vez instalado en un servidor de correo electrónico de Exchange, el servicio EM puede aplicar tres tipos de mitigaciones:
- Mitigación de la regla de reescritura de URL de IIS: una regla que bloquea patrones específicos de solicitudes HTTP maliciosas que pueden poner en peligro un servidor de Exchange.
- Mitigación del servicio de Exchange: desactiva un servicio vulnerable en un servidor de Exchange.
- Mitigación del grupo de aplicaciones: desactiva un grupo de aplicaciones vulnerable en un servidor Exchange.
Característica opcional que se puede deshabilitar
“Este nuevo servicio no reemplaza la instalación de las actualizaciones de seguridad (SU) de Exchange Server, pero es la forma más rápida y sencilla de mitigar los mayores riesgos para los servidores de Exchange locales conectados a Internet antes de instalar las SU correspondientes”, dijo Exchange Team explicó.
EM es una versión de EOMT construida dentro de Exchange Server que funciona con Office Config Service (OCS) basado en la nube para descargar y proteger contra errores de alto riesgo con mitigaciones conocidas.
Los administradores pueden deshabilitar el servicio EM si no quieren que Microsoft aplique mitigaciones a sus servidores Exchange automáticamente.
También pueden controlar las mitigaciones aplicadas mediante cmdlets y scripts de PowerShell, que permiten ver, volver a aplicar, bloquear o eliminar mitigaciones.
“Nuestro plan es lanzar mitigaciones solo para los problemas de seguridad más graves, como problemas que se explotan activamente en la naturaleza”, agregó el equipo de Exchange.
“Debido a que la aplicación de mitigaciones puede reducir la funcionalidad del servidor, planeamos lanzar mitigaciones solo cuando se detecten los problemas de mayor impacto o gravedad”.
Fuente: Bleeping Computer
