Microsoft Defender ahora puede prevenir automáticamente las vulnerabilidades de Exchange Server
Microsoft ha implementado una actualización de seguridad para Defender Antivirus para mitigar la vulnerabilidad del servidor Exchange CVE-2021-28655 a través de una configuración de reescritura de URL. El antivirus también escaneará el servidor y revertirá los cambios realizados por cualquier amenaza conocida.
La compañía de Redmond ha implementado varios parches de seguridad después de que se descubrió que los delincuentes están utilizando cuatro exploits de día cero en Exchange Server para llevar a cabo ataques de ransomware. Las vulnerabilidades de seguridad afectan a Microsoft Exchange Server 2013, 2016 y 2019.
Microsoft Defender mitigará las vulnerabilidades de Exchange Server
Entre las cuatro vulnerabilidades de día cero, la que Microsoft está parcheando (CVE-2021-28655) es la más grave, ya que actúa como punto de entrada para las otras tres vulnerabilidades. Microsoft dice que Defender Antivirus evaluará automáticamente si un servidor Exchange es vulnerable a las vulnerabilidades y aplicará la solución si es necesario.
Sin embargo, Microsoft también señala en su blog de seguridad que esta mitigación provisional es una solución temporal, mientras que las empresas de todo el mundo se toman su tiempo para instalar la última actualización acumulativa de Exchange, ya que solo eso abordará por completo las vulnerabilidades.
La actualización de seguridad de Exchange sigue siendo la forma más completa de proteger sus servidores de estos ataques y otros corregidos en versiones anteriores. Esta mitigación provisional está diseñada para ayudar a proteger a los clientes mientras se toman el tiempo para implementar la última actualización acumulativa de Exchange para su versión de Exchange.
Si tiene Microsoft Defender instalado en su Exchange Server con las actualizaciones automáticas de definiciones habilitadas, la mitigación se aplicará automáticamente. Si su organización administra las actualizaciones de definiciones de Microsoft Defender, deben asegurarse de que la nueva compilación de detección (1.333.747.0 o más reciente) se implemente en Exchange Server.
En caso de que no use Microsoft Defender, puede usar la herramienta de mitigación de un solo clic que Microsoft lanzó para los servidores Exchange la semana pasada para protegerse contra la vulnerabilidad de ProxyLogon que afecta a decenas de miles de sus clientes.
Los servidores de Microsoft Exchange en todo el mundo están siendo sometidos a ataques de ransomware
Desde que el grupo de piratería Hafnium explotó por primera vez la vulnerabilidad de ProxyLogon, los servidores de Microsoft Exchange en todo el mundo han sido objeto de ataques de ransomware. El problema es tan grave queSeguridad Nacional ha declarado que el ataque a Microsoft Exchange es una "emergencia".
El grupo Hafnium combinó las cuatro vulnerabilidades de día cero en un vector de ataque. Permite al atacante apuntar a un servidor con malware de minería de cifrado, shells web e incluso el ransomware DearCry.
Acer también se ha visto afectada por un ataque de ransomware de 50 millones de dólares del grupo de ransomware REvil, que utilizó los mismos exploits de Exchange Server.