针对Exchange重大漏洞，多家资安厂商提出建议的缓解措施最新消息

针对Exchange重大漏洞，多家资安厂商提出建议的缓解措施

消息来源:baojiabao.com 作者: 发布时间：2026-02-21

报价宝综合消息针对Exchange重大漏洞，多家资安厂商提出建议的缓解措施

图片来源:

Fortinet、Palo Alto Networks、Sophos

微软于3月2日修补Exchange重大漏洞，这些漏洞主要影响Exchange 2013至2019等版本，由于相关漏洞遭到滥用的情况急剧恶化，使得许多资安专家相继呼吁，网管人员应该尽速安装修补程式，以免Exchange服务器成为这波漏洞攻击的受害者，但究竟要如何缓解这些漏洞可能带来的影响？近日我们看到Fortinet、Palo Alto Networks、Sophos等资安业者，纷纷提出建议，并指出修补漏洞只是第一步，后续企业或-机关应该清查是否有遭到攻击的情况，甚至可能要进行相关的事件回应（IR）。

具体来说，这里3家资安业者提到的相关缓解与清查工具如下：

漏洞缓解措施

1. Exchange修补程式KB5000871
2. 缓解工具Exchange On-Premises Mitigation Tool（EOMT）

受害情况清查

1. 漏洞滥用调查工具Test-ProxyLogon.ps1
2. 恶意网页壳层扫描工具Microsoft Safety Scanner（MSERT）
3. 检查Exchange档案是否遭窜改工具CompareExchangeHashes.ps1

安装修补程式是防堵相关攻击的第一步

从Fortinet、Palo Alto Networks、Sophos提出的说明当中，这3家厂商不约而同强调，企业与-机关应该要先修补漏洞（Patch First）。但对于执行的过程中，他们也提出必须留意的细节。

例如，Palo Alto指出，微软本次推出的修补程式KB5000871，初期存在着Exchange必须安装指定版本的累积更新包（Cumulative Update，CU）才能适用的情况，换言之，当时用户想要缓解相关漏洞，可能得事先安装对应的累积更新包，才能修补漏洞。

不过，微软也陆续对于更多版本的Exchange服务器，提供对应的修补程式。截至3月16日，他们已针对所有累积更新包推出KB5000871。因此，网管人员在修补之前，不只需要确认Exchange服务器的版本，也要根据已安装的累积更新包，才能取得对应的修补程式。此外，对于Exchange 2016与2019的用户，微软也于近期推出包含相关修补程式的累积更新包，分别为Exchange 2016 CU 20，以及Exchange 2019 CU 9。换言之，网管人员也可以选用这些累积更新包进行修补作业。

无法安装修补程式的用户也应采取其他缓解措施

但针对无法停机等因素，有些Exchange服务器面临无法安装修补程式的情况，Sophos则提醒网管人员，可采用微软提供的暂时缓解措施，管理者可自行手动调查Exchange部分功能，如在过滤器加入IIS覆写规则，以及停用整合通讯服务（Unified Messaging）、离线通讯录（OAB）的虚拟目录等。而这些功能的调整，近期微软也提供了自动化指令工具Exchange On-Premises Mitigation Tool（EOMT）。

对于许多无法修补Exchange，或是调整相关设定的用户，上述资安厂商也透过IPS特征码的方式，提供虚拟修补。以Fortinet而言，他们表示已在3月3日至4日，推出4个FortiGuard的IPS修补程式，此外，他们也指出旗下的FortiEDR和FortiXDR事件侦测与回应系统，能够侦测并封锁滥用相关漏洞的行为。

而Palo Alto则是对于旗下次世代防火墙，推出8380版的威胁预防情资包，来对于进入到内部的网络流量已透过SSL解密的情况，进行防范。至于Sophos，也在他们旗下的防火墙、UTM、端点防护系统Intercept X Advanced，加入相关的IPS特征码，该公司亦针对防毒软件的部分，纳入识别网页壳层（Web Shell）和恶意酬载的特征码。

缓解漏洞后需厘清可能受害的范围

在完成修补或是执行上述缓解作业之后，接下来就是应该确认有那些Exchange服务器受害。Palo Alto与Sophos指出，这里可以透过微软们提供的工具进行检查。这些工具包含了PowerShell指令码Test-ProxyLogon.ps1，以及安全扫描工具Microsoft Safety Scanner（MSERT）等。前者借着检查Exchange服务器和IIS事件记录的方式，来确认漏洞是否遭到滥用；后者则能扫描是否存在可能会带来危害的网页壳层。

此外，对于已有勒索软件DearCry滥用相关漏洞入侵Exchange服务器的现象，Sophos也提到网管人员可运用微软提供的指令码CompareExchangeHashes.ps1，能比对Exchange的档案完整性，相关档案是否出现遭到窜改的情况。

但在这些漏洞检测工具之外，无论Fortinet、Palo Alto或是Sophos，他们也对于自家用户提醒，可透过对应的资安事件调查系统来进行事件调查，并提供有关的操作步骤。

2021-03-18 22:10:00