微软：Microsoft Defender可自动缓解Exchange Server漏洞

Exchange Server的ProxyLogon漏洞引发全球企业资安危机，微软上周更新个人及企业防毒软件，可自动缓解其中一个已遭骇客开采的漏洞。

Exchange Server的ProxyLogon漏洞其实有4项漏洞，包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065，受影响的版本包括2013、2016和2019。微软上周指出已经更新端点安全产品Microsoft Defender Antivirus及System Center Endpoint Protection的特征档，现在两项产品将可自动缓解任何Exchange Server的CVE-2021-26855 ，包括未更新的Exchange Server。

4个漏洞中，CVE-2021-26855为服务器请求伪造（SSRF）漏洞，允许攻击者传送HTTP呼叫而验证进入Exchange Server，等于是骇客骇入系统的第一道大门，其他漏洞则让骇客得以在Exchange上执行程式码、或安装恶意档案，包括可作为后门的web shell。

Exchange Server用户只需确定其装置上微软端点安全产品的特征档（security intelligence update）到build 1.333.747.0之后版本，如果他们关闭自动更新功能的话。

在此之前，微软已经陆续释出完整Exchange Server安全更新、可侦测恶意web shell工具Microsoft Safety Scanner、及可缓解CVE-2021-26855的一键缓解工具EOMT（Exchange On -premise Mitigation Tool）。

不过微软还是强调Exchange 安全更新仍是确保安全性的最全面方法。这些临时性的缓解工具，主要是在用户安装Exchanger累积更新之前提供暂时保护。