
Fortinet、Palo Alto Networks、Sophos
微软于3月2日修补Exchange重大漏洞,这些漏洞主要影响Exchange 2013至2019等版本,由于相关漏洞遭到滥用的情况急剧恶化,使得许多资安专家相继呼吁,网管人员应该尽速安装修补程式,以免Exchange服务器成为这波漏洞攻击的受害者,但究竟要如何缓解这些漏洞可能带来的影响?近日我们看到Fortinet、Palo Alto Networks、Sophos等资安业者,纷纷提出建议,并指出修补漏洞只是第一步,后续企业或-机关应该清查是否有遭到攻击的情况,甚至可能要进行相关的事件回应(IR)。
具体来说,这里3家资安业者提到的相关缓解与清查工具如下:
漏洞缓解措施
1. Exchange修补程式KB5000871
2. 缓解工具Exchange On-Premises Mitigation Tool(EOMT)
受害情况清查
1. 漏洞滥用调查工具Test-ProxyLogon.ps1
2. 恶意网页壳层扫描工具Microsoft Safety Scanner(MSERT)
3. 检查Exchange档案是否遭窜改工具CompareExchangeHashes.ps1
安装修补程式是防堵相关攻击的第一步
从Fortinet、Palo Alto Networks、Sophos提出的说明当中,这3家厂商不约而同强调,企业与-机关应该要先修补漏洞(Patch First)。但对于执行的过程中,他们也提出必须留意的细节。
例如,Palo Alto指出,微软本次推出的修补程式KB5000871,初期存在着Exchange必须安装指定版本的累积更新包(Cumulative Update,CU)才能适用的情况,换言之,当时用户想要缓解相关漏洞,可能得事先安装对应的累积更新包,才能修补漏洞。
不过,微软也陆续对于更多版本的Exchange服务器,提供对应的修补程式。截至3月16日,他们已针对所有累积更新包推出KB5000871。因此,网管人员在修补之前,不只需要确认Exchange服务器的版本,也要根据已安装的累积更新包,才能取得对应的修补程式。此外,对于Exchange 2016与2019的用户,微软也于近期推出包含相关修补程式的累积更新包,分别为Exchange 2016 CU 20,以及Exchange 2019 CU 9。换言之,网管人员也可以选用这些累积更新包进行修补作业。
无法安装修补程式的用户也应采取其他缓解措施
但针对无法停机等因素,有些Exchange服务器面临无法安装修补程式的情况,Sophos则提醒网管人员,可采用微软提供的暂时缓解措施,管理者可自行手动调查Exchange部分功能,如在过滤器加入IIS覆写规则,以及停用整合通讯服务(Unified Messaging)、离线通讯录(OAB)的虚拟目录等。而这些功能的调整,近期微软也提供了自动化指令工具Exchange On-Premises Mitigation Tool(EOMT)。
对于许多无法修补Exchange,或是调整相关设定的用户,上述资安厂商也透过IPS特征码的方式,提供虚拟修补。以Fortinet而言,他们表示已在3月3日至4日,推出4个FortiGuard的IPS修补程式,此外,他们也指出旗下的FortiEDR和FortiXDR事件侦测与回应系统,能够侦测并封锁滥用相关漏洞的行为。
而Palo Alto则是对于旗下次世代防火墙,推出8380版的威胁预防情资包,来对于进入到内部的网络流量已透过SSL解密的情况,进行防范。至于Sophos,也在他们旗下的防火墙、UTM、端点防护系统Intercept X Advanced,加入相关的IPS特征码,该公司亦针对防毒软件的部分,纳入识别网页壳层(Web Shell)和恶意酬载的特征码。
缓解漏洞后需厘清可能受害的范围
在完成修补或是执行上述缓解作业之后,接下来就是应该确认有那些Exchange服务器受害。Palo Alto与Sophos指出,这里可以透过微软们提供的工具进行检查。这些工具包含了PowerShell指令码Test-ProxyLogon.ps1,以及安全扫描工具Microsoft Safety Scanner(MSERT)等。前者借着检查Exchange服务器和IIS事件记录的方式,来确认漏洞是否遭到滥用;后者则能扫描是否存在可能会带来危害的网页壳层。
此外,对于已有勒索软件DearCry滥用相关漏洞入侵Exchange服务器的现象,Sophos也提到网管人员可运用微软提供的指令码CompareExchangeHashes.ps1,能比对Exchange的档案完整性,相关档案是否出现遭到窜改的情况。
但在这些漏洞检测工具之外,无论Fortinet、Palo Alto或是Sophos,他们也对于自家用户提醒,可透过对应的资安事件调查系统来进行事件调查,并提供有关的操作步骤。
相关文章
YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作2023-12-27 18:34:43
刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人2023-09-26 21:55:08
WebOS新系统:Palm Pre手机最新款高价登港2023-06-23 15:39:14
帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应2023-06-22 09:36:10
蔚来全系产品降价3万 取消免费换电 换一次电池180元2023-06-12 17:27:49
电商平台三巨头开打最大规模折扣 价格战再次打响2023-03-05 18:58:40
爱立信节省成本裁员四千人 爱立信全球员工总数五分之一2023-02-24 22:27:29
蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭2023-02-23 16:18:14
联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出2023-02-18 12:45:25
蓝色光标2022营收亏损18亿 客户预算减少明显2023-02-18 12:40:08
三星工厂或将80%生产转至越南 因本地劳动力成本上升2023-02-17 23:09:16
香港八达通卡如何激活?没用失效过期余额怎么办2023-02-17 18:34:51
中兴通讯被曝将裁员20% 称只裁国外的2023-02-17 18:33:26
苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出2023-02-17 16:57:22
突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌2023-02-16 14:31:19
三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?2023-02-14 00:53:17
Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要2023-02-14 00:32:08
谷歌google计划重返进入中国市场?但结果可能令你失望2023-02-13 16:57:15
Zoom紧急裁员1300人 佔员工总数15%2023-02-08 14:59:11
最新资讯
炒港股要补交多少税?我也接到催交补税特别行动的电话了2025-07-23 17:36:43
淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
手机
中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15