Nie cichnie wrzawa po wykryciu w ostatnich dniach podatności w systemach Exchange Server. Pisałem już w poprzednim poście o poprawkach, które Microsoft wydał dokładnie tydzień temu, wiele organizacji Exchange zostało do dziś zaatakowanych - bez wątpienia był to największy atak na najczęściej używany na świecie komercyjny system pocztowy. Podstawowym problemem, jaki mieli administratorzy, którzy chcieli zabezpieczyć swoje serwery Exchange, był w wielu przypadkach brak aktualnych wersji poprawek Cumulative Updates (grupa produktowa Exchange wydaje poprawki bezpieczeństwa tylko dla dwóch ostatnich wersji CU), których z różnych względów firmy nie mogły lub nie chciały zainstalować.
Dlatego też, ze względu na fakt, jak krytyczne są wykryte podatności, Microsoft opublikował dodatkowo poprawki dla trzech poprzednich wersji CU, zarówno dla Exchange 2016 jak i Exchange 2019. Dodatkowe poprawki łatają tylko wykryte w marcu podatności, ale dzięki ich instalacji, firmy będą mogły lepiej przygotować się do instalacji najnowszych aktualizacji zbiorczych, nie będąc narażonymi na ataki. Więcej informacji na blogu grupy produktowej Exchange.
Warto również sprawdzić, czy na naszym serwerze Exchange nie ma podejrzanych plików, świadczących o dokonanym ataku. Microsoft udostępnił skrypt Test-ProxyLogon.ps1, który szuka takich danych.
W przypadku, gdy serwer jednak padł ofiarą ataku, Microsoft zaleca reinstalację systemu. W takiej sytuacji warto pamiętać o parametrze instalacyjnym /recoverserver dzięki któremu w trakcie instalacji konfiguracja zostanie pobrana z Active Directory, co na pewno znacząco ułatwia życie. Dokładniejszą instrukcję, jak odbudować serwer umieścił na swoim blogu Jaap Veselius.
Brak komentarzy:
Prześlij komentarz