Microsoft Defender ajoute une mitigation automatique pour ProxyLogon

0

L’antivirus Microsoft Defender va désormais protéger les serveurs Exchange non patchés contre les attaques en mitigeant automatiquement la vulnérabilité Proxylogon (CVE-2021-26855) activement exploitée.

Les clients utilisant System Center Endpoint Protection sur leurs serveurs seront également protégés par le même processus de mitigation automatisé.

« La mise à jour de sécurité d’Exchange est toujours le moyen le plus fiable de protéger vos serveurs contre ces attaques et d’autres corrigés dans les versions précédentes », a déclaré Microsoft.

« Cette mitigation provisoire est conçue pour aider à protéger les clients pendant qu’ils prennent le temps de mettre en œuvre la dernière mise à jour cumulative pour leur version d’Exchange. »

La mitigation automatique de Proxylogon

La protection automatique de Microsoft Defender contre les attaques actives ciblant les serveurs Exchange non patchés fonctionne en cassant la chaîne d’attaque.

Il atténue automatiquement CVE-2021-26855 via une configuration de réécriture d’URL et scanne les serveurs la recherche de modifications apportées par les attaques précédentes, les renversant automatiquement.

« Avec la dernière mise à jour, Microsoft Defender Antivirus et System Center Endpoint Protection atténuera automatiquement CVE-2021-26855 sur n’importe quel serveur Exchange vulnérable sur lequel il est déployé », a ajouté Microsoft.

« Les clients n’ont pas besoin de prendre des mesures au-delà de s’assurer qu’ils ont installé la dernière mise à jour de sécurité (build 1.333.747.0 ou plus récent), si les mises à jour automatique ne sont pas encore activées. »

Microsoft a publié des mises à jour de sécurité contre ProxyLogon pour Microsoft Exchange Server 2019, 2016 et 2013, ainsi que des conseils étape par étape pour aider à faire face à ces attaques en cours.

Redmond a également publié un outil d’atténuation Exchange en un clic pour aider les propriétaires de petites entreprises à atténuer ces vulnérabilités activement exploitées dans les versions actuelles et les versions hors support de serveurs Exchange.

Les serveurs Exchange ciblés par des hackers étatiques et des ransomwares

Plus tôt ce mois-ci, Microsoft a révélé que quatre failles zero-day ont été utilisés dans les attaques contre Microsoft Exchange.

Ces vulnérabilités sont collectivement connues sous le nom de ProxyLogon et sont utilisées pour déployer des web shells, des cryptomineurs et, plus récemment, des charges utiles du ransomware DearCry sur des serveurs Exchange compromis.

Depuis que Microsoft a révélé les attaques en cours, la société slovaque de sécurité internet ESET a découvert au moins dix groupes APT ciblant des serveurs Exchange non patchés.

Selon Palo Alto Networks, plus de 125 000 serveurs Exchange attendent toujours d’être patchés dans le monde entier.

En outre, des dizaines de milliers d’organisations ont déjà été compromises depuis le mois de Janvier, deux mois avant que Microsoft ne commence à déployer des correctifs.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.