Microsoft Defender Antivirus proteggerà i server Exchange privi di patch dagli attacchi che sfruttano la vulnerabilità CVE-2021-26855. È la più grave delle quattro falle critiche corrette da Microsoft il 2 marzo scorso, si tratta di una vulnerabilità SSRF (Request Forgery) lato server che può essere sfruttata per eseguire l'autenticazione come server Exchange inviando richieste HTTP arbitrarie.

Nonostante i ripetuti allarmi da parte di esperti della sicurezza e autorità, più di 80mila server nel mondo risultano tuttora privi di patch. Per tamponare la situazione l'azienda di Redmond aveva pubblicato lo strumento correttivo provvisorio Exchange On-premises Mitigation Tool. Permette, con un clic, di applicare una protezione temporanea contro i recenti attacchi di Exchange Server. Questo strumento è tuttora disponibile e resta un'opzione per mitigare i rischi sui server su cui non è presente Defender Antivirus.

Esiste inoltre uno script per attivare la scansione delle reti alla ricerca di indicatori di compromissione e minacce attive. La situazione tuttavia è complicata: gli attacchi si moltiplicano, oltre al gruppo HAFNIUM risulta che ci siano almeno altri 10 gruppi APT che stanno sferrando attacchi. I rischi per la sicurezza sono altissimi e molti, anche nel mondo della cyber security, si aspettavano che Microsoft facesse di più.

Ecco quindi una soluzione automatica per rimediare almeno alla vulnerabilità più critica e attivamente sfruttata. La protezione automatica di Defender funziona rompendo la kill chain. La mitigazione consiste nella configurazione di riscrittura URL e nell'analisi dei server alla ricerca di modifiche apportate da attacchi precedenti, invertendoli automaticamente. In sostanza, Microsoft Defender Antivirus identificherà automaticamente se un server è vulnerabile e applicherà la correzione.
Le mitigazioni prendono corso nel momento stesso in cui l'aggiornamento di Defender viene distribuito, senza richiedere alcuna azione da parte degli utenti. Per questo è fondamentale che siano attivati gli aggiornamenti automatici. In alternativa sarà necessario procedere manualmente e sincerarsi che il software sia aggiornato almeno alla build 1.333.747.0 o più recente.

I clienti che eseguono System Center Endpoint Protection sui propri server saranno a loro volta protetti attraverso lo stesso processo di mitigazione automatizzato. Come si legge nella nota ufficiale di Microsoft, "con l'ultimo aggiornamento della security intelligence, Microsoft Defender Antivirus and System Center Endpoint Protection mitiga automaticamente la falla CVE-2021-26855 in qualsiasi Exchange Server vulnerabile in cui viene distribuito".

È da sottolineare che questa novità non esenta dall'installazione della patch, che resta "il modo più completo per proteggere i server da questi attacchi". L'azienda sottolinea infatti che "questa mitigazione provvisoria è progettata per proteggere i clienti mentre si prendono il tempo necessario per implementare l'ultimo aggiornamento cumulativo di Exchange".

Aggiornamento cumulativo che, ricordiamo, riguarda Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e a titolo precauzionale anche Exchange Server 2010.