Như các bạn đã biết mấy ngày qua Exchange của Microsoft có lỗ hổng lớn liên quan đến bảo mật (ví dụ: máy chủ xuất Outlook lên web / OWA và ECP). Một số thông tin đến ae làm system admin để nắm.
Microsoft vừa phát hành bản vá cho nhiều lỗ hổng zero-day của Microsoft Exchange Server on premise (tại chỗ). Các lỗ hổng này đang bị lợi dụng và khai thác bởi một nhóm tin tặc được chính phủ hậu thuẫn. Các lỗ hổng xuất hiện trong Exchange Server 2010, 2013, 2016 và 2019 phiên bản tại chỗ.
Đối với Máy chủ Exchange tại chỗ, hãy yêu cầu nhóm kỹ thuật khẩn trương đánh giá cơ sở hạ tầng Exchange và vá các máy chủ dễ bị tấn công, với ưu tiên số một là máy chủ có thể truy cập từ Internet (ví dụ: máy chủ xuất Outlook lên web / OWA và ECP). Để vá các lỗ hổng này, bạn nên cài đặt bản cập nhật tích lũy Exchange Cumulative Updates mới nhất, sau đó cài đặt các bản cập nhật bảo mật có liên quan trên mỗi Exchange Server. Bạn có thể sử dụng tập lệnh Exchange Server Health Checker tải xuống từ GitHub (hãy sử dụng bản mới nhất). Sau khi chạy tập lệnh này, bạn sẽ biết được tình trạng cập nhật của Exchange Server tại chỗ của mình (lưu ý rằng tập lệnh không hỗ trợ Exchange Server 2010).
Bộ phận bảo mật của bạn cũng nên đánh giá xem liệu các lỗ hổng bảo mật đã bị khai thác hay chưa bằng cách đối chiếu các Chỉ số Thỏa hiệp mà chúng tôi đã chia sẻ ở đây
Các thông tin về bản bảo mật
- Exchange Server 2010 (update requires SP 3 or any SP 3 RU – this is a Defense in Depth update)
- Exchange Server 2013 (update requires CU 23)
- Exchange Server 2016 (update requires CU 19 or CU 18)
- Exchange Server 2019 (update requires CU 8 or CU 7)
- NEW! Security Updates for older Cumulative Updates of Exchange Server
Thông tin update về các tiến độ của Microsoft
- 3/10/2021: Added a note that the MSERT tool should be downloaded often as it gets updated regularly
- 3/9/2021: Added a link to ExchangeMitigations.ps1 mitigation script and CompareExchangeHashes.ps1 file hashes check script.
- 3/8/2021: Added a link about Updates for older Cumulative Updates of Exchange Server and information about a feed of observed indicators of compromise (IOCs).
- 3/8/2021: Added a link to the guide that can help with steps that need to be taken to get current and update
- 3/8/2021: Added a note about elevated CMD prompt installation of .msp files
- 3/7/2021: Reorganized information to make it easier to navigate
- 3/6/2021: Added information about MSERT tool to help with remediation
- 3/6/2021: linked to an article about troubleshooting failed installations of Exchange security updates
- 3/5/2021: linked to the new MSTIC blog post on Vulnerability Mitigations
Anh em tranh thủ lab trước update và xem kỷ hướng dẫn của file pdf của MS tại đây nhé
Link tham khảo: