Microsoft Defender Antivirus proteggerà i server Exchange privi di patch dagli attacchi che sfruttano la vulnerabilità CVE-2021-26855. È la più grave delle
quattro falle critiche corrette da Microsoft il 2 marzo scorso, si tratta di una vulnerabilità SSRF (Request Forgery) lato server che può essere sfruttata per eseguire l'autenticazione come server Exchange inviando richieste HTTP arbitrarie.
Nonostante i ripetuti allarmi da parte di esperti della sicurezza e autorità,
più di 80mila server nel mondo risultano tuttora privi di patch. Per tamponare la situazione l'azienda di Redmond aveva pubblicato lo strumento correttivo provvisorio Exchange On-premises Mitigation Tool. Permette, con un clic, di applicare una protezione temporanea contro i recenti attacchi di Exchange Server. Questo strumento è tuttora disponibile e
resta un'opzione per mitigare i rischi sui server su cui non è presente Defender Antivirus.
Esiste inoltre uno script per attivare la scansione delle reti alla ricerca di indicatori di compromissione e minacce attive. La situazione tuttavia è complicata: gli attacchi si moltiplicano, oltre al gruppo HAFNIUM risulta che ci siano
almeno altri 10 gruppi APT che stanno sferrando attacchi. I rischi per la sicurezza sono altissimi e molti, anche nel mondo della cyber security, si aspettavano che Microsoft facesse di più.
Ecco quindi una
soluzione automatica per rimediare almeno alla vulnerabilità più critica e attivamente sfruttata. La protezione automatica di Defender funziona rompendo la kill chain. La mitigazione consiste nella configurazione di riscrittura URL e nell'analisi dei server alla ricerca di modifiche apportate da attacchi precedenti, invertendoli automaticamente. In sostanza, Microsoft Defender Antivirus
identificherà automaticamente se un server è vulnerabile e applicherà la correzione.
Le mitigazioni prendono corso nel momento stesso in cui l'aggiornamento di Defender viene distribuito, senza richiedere alcuna azione da parte degli utenti. Per questo è fondamentale che
siano attivati gli aggiornamenti automatici. In alternativa sarà necessario procedere manualmente e sincerarsi che il software sia aggiornato almeno alla build 1.333.747.0 o più recente.
I clienti che eseguono System Center Endpoint Protection sui propri server saranno a loro volta protetti attraverso lo stesso processo di mitigazione automatizzato. Come si legge nella nota ufficiale di Microsoft, "
con l'ultimo aggiornamento della security intelligence, Microsoft Defender Antivirus and System Center Endpoint Protection mitiga automaticamente la falla CVE-2021-26855 in qualsiasi Exchange Server vulnerabile in cui viene distribuito".
È da sottolineare che
questa novità non esenta dall'installazione della patch, che resta "
il modo più completo per proteggere i server da questi attacchi". L'azienda sottolinea infatti che "
questa mitigazione provvisoria è progettata per proteggere i clienti mentre si prendono il tempo necessario per implementare l'ultimo aggiornamento cumulativo di Exchange".
Aggiornamento cumulativo che, ricordiamo, riguarda Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e a titolo precauzionale anche Exchange Server 2010.