Microsoft Defender agrega mitigación automática de Exchange ProxyLogon

Microsoft Defender Antivirus ahora protegerá los servidores de Exchange locales sin parches de los ataques en curso al mitigar automáticamente la vulnerabilidad CVE-2021-26855 explotada activamente.

Los clientes que ejecutan System Center Endpoint Protection en sus servidores también estarán protegidos mediante el mismo proceso de mitigación automatizado.

"La Actualización de seguridad de Exchange sigue siendo la forma más completa de proteger los servidores de estos ataques y otros corregidos en versiones anteriores", dijo Microsoft.

"Esta mitigación provisional está diseñada para proteger a los clientes mientras se toman el tiempo para implementar la última actualización acumulativa de Exchange para su versión de Exchange".

Mitigación automática de ProxyLogon

La protección automática de Microsoft Defender contra ataques activos dirigidos a servidores Exchange sin parches funciona rompiendo la cadena de ataques.

Mitiga automáticamente CVE-2021-26855 a través de una configuración de reescritura de URL y escanea los servidores en busca de cambios realizados por ataques anteriores, y los cancela automáticamente.

"Con la última actualización de inteligencia de seguridad, Microsoft Defender Antivirus y System Center Endpoint Protection mitigarán automáticamente CVE-2021-26855 en cualquier servidor Exchange vulnerable en el que se implemente", Microsoft adicional.

"Los clientes no deben tomar ninguna acción más allá de asegurarse de que han instalado la última actualización de inteligencia de seguridad (compilación 1.333.747.0 o más reciente) si aún no tienen habilitadas las actualizaciones automáticas".

Microsoft ha publicado Actualizaciones de seguridad de ProxyLogon para Microsoft Exchange Server 2019, 2016 y 2013, así como guía paso por paso para ayudar a abordar estos ataques en curso.

Redmond también lanzó una herramienta de mitigación de Exchange en las instalaciones con un solo clic para ayudar a los propietarios de pequeñas empresas a mitigar estas vulnerabilidades explotadas activamente en las versiones actuales y no compatibles de los servidores de Exchange en las instalaciones.

Servidores de Exchange atacados por piratas informáticos estatales, ransomware

A principios de este mes, Microsoft reveló que se estaban utilizando cuatro días cero en ataques contra Microsoft Exchange.

Estas vulnerabilidades se conocen colectivamente como ProxyLogon y se utilizan para implementar shells web, cryptominers y, más recientemente, cargas útiles de ransomware DearCry en servidores Exchange locales comprometidos.

Desde que Microsoft reveló los ataques en curso, la empresa de seguridad de Internet eslovaca ESET ha descubierto al menos diez grupos de APT dirigidos a servidores Exchange sin parches.

Según Palo Alto Networks, más de 125.000 servidores Exchange todavía están esperando ser actualizados Por todo el mundo.

Además, decenas de miles de organizaciones ya se han visto comprometidas desde al menos enero, dos meses antes de que Microsoft comenzara a lanzar parches.