A Microsoft informa que os servidores Exchange desatualizados não podem receber novas definições de mitigação de emergência devido à descontinuação de um tipo de certificado do Serviço de Configuração do Office.
As mitigations de emergência (conhecidas também como mitigations EEMS) são entregues via Exchange Emergency Mitigation Service (EEMS), introduzido há três anos, em setembro de 2021.
O EEMS aplica automaticamente mitigations intermediárias para falhas de segurança de alto risco (e provavelmente sendo ativamente exploradas) para proteger os servidores Exchange locais contra ataques.
Ele detecta servidores Exchange vulneráveis a ameaças conhecidas e aplica mitigations intermediárias até que atualizações de segurança sejam lançadas.
O EEMS é executado como um serviço Windows nos servidores de Caixa de Correio Exchange e é instalado automaticamente em servidores com o papel de Caixa de Correio após a implantação de atualizações cumulativas de setembro de 2021 (ou posteriores) no Exchange Server 2016 ou Exchange Server 2019.
Contudo, de acordo com a Equipe Exchange, o EEMS "não é capaz de contatar" o Office Configuration Service (OCS) e baixar novas mitigations de segurança intermediárias em servidores desatualizados rodando versões do Exchange anteriores a março de 2023, acionando, em vez disso, eventos de "Erro, MSExchange Mitigation Service".
"Um dos tipos de certificados mais antigos no OCS está sendo descontinuado. Um novo certificado já foi implantado no OCS, e qualquer servidor que seja atualizado para qualquer Cumulative Update (CU) ou Security Update (SU) do Exchange Server mais novo que março de 2023 continuará sendo capaz de verificar novas mitigations do EEMS," disse hoje a Equipe Exchange.
Se seus servidores estão consideravelmente desatualizados, por favor, atualize seus servidores o quanto antes para proteger sua carga de trabalho de email e reabilitar o servidor Exchange para verificar as regras do EEMS. É importante manter sempre seus servidores atualizados.
Executar o Exchange Server Health Checker sempre lhe dirá o que você precisa fazer!
Essa funcionalidade foi adicionada após hackers patrocinados pelo estado e motivados financeiramente explorarem as vulnerabilidades ProxyLogon e ProxyShell, que não tinham patches ou informações de mitigação, para invadir servidores Exchange.
Em março de 2021, pelo menos dez grupos de hackers exploraram o ProxyLogon, incluindo um grupo de ameaças patrocinado pela China conhecido pela Microsoft como Hafnium.
A Microsoft também instou seus clientes, há dois anos, em janeiro de 2023, a aplicar a última Cumulative Update (CU) suportada e manter seus servidores Exchange locais atualizados para garantir que estariam sempre prontos para implementar atualizações de segurança de emergência.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...