Microsoft ha añadido una nueva función para su servicio Microsoft Exchange Server que aplica automáticamente las medidas de mitigaciones provisionales para las fallas de seguridad de alto riesgo (y probablemente explotados activamente por actores de amenazas) para proteger los servidores locales y dar a los administradores más tiempo para aplicar las actualizaciones de seguridad.
Esta actualización se produce después de que múltiples vulnerabilidades zero-day de Microsoft Exchange fueran explotadas por diferentes grupos de actores de amenazas patrocinados por el Estado y aquellos por motivación económica para poner en peligro los servidores cuyos administradores no disponían de información sobre parches o mitigaciones.
El nuevo componente de Exchange Server, denominado cómo Microsoft Exchange Emergency Mitigation (EM), se basa en la herramienta Exchange On-premises Mitigation Tool (EOMT) de Microsoft lanzada en marzo para ayudar a los clientes a minimizar la superficie de ataque expuesta por los errores de ProxyLogon.
El EM se ejecuta como un servicio de Windows en los servidores de buzón de Exchange y se instalará automáticamente en los servidores con el rol de buzón después de implementar la CU de septiembre de 2021 (o posterior) en Exchange Server 2016 o Exchange Server 2019. Funciona detectando los servidores Exchange vulnerables a una o más amenazas conocidas y aplica mitigaciones provisionales hasta que una actualización de seguridad esté disponible para que los administradores la instalen.
Las mitigaciones aplicadas automáticamente a través del servicio EM son correcciones temporales hasta que se pueda instalar la actualización de seguridad que corrige la vulnerabilidad y no son un reemplazo de las SU de Exchange.
Una vez instalado en un servidor de correo electrónico Exchange, el servicio EM puede aplicar tres tipos de mitigaciones:
- Mitigación de la regla de reescritura de URL de IIS: una regla que bloquea patrones específicos de solicitudes HTTP maliciosas que pueden poner en peligro un servidor de Exchange.
- Mitigación del servicio de Exchange: desactiva un servicio vulnerable en un servidor de Exchange.
- Mitigación de grupos de aplicaciones: desactiva un grupo de aplicaciones vulnerable en un servidor Exchange.
«Este nuevo servicio no sustituye a la instalación de las actualizaciones de seguridad (SU) de Exchange Server, pero es la forma más rápida y sencilla de mitigar los mayores riesgos para los servidores Exchange locales conectados a Internet antes de instalar las SU aplicables», explicó el equipo de Exchange.
EM es una versión de EOMT construida dentro de Exchange Server que funciona con el servicio de configuración de Office (OCS) basado en la nube para descargar y proteger contra los errores de alto riesgo con mitigaciones conocidas.
Los administradores pueden desactivar el servicio EM si no quieren que Microsoft aplique mitigaciones a sus servidores Exchange automáticamente. También pueden controlar las mitigaciones aplicadas mediante cmdlets y scripts de PowerShell, que permiten ver, reaplicar, bloquear o eliminar mitigaciones.
Más información

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.