新的 Microsoft Exchange 服务可自动缓解高风险错误

Microsoft 添加了一项新的 Exchange Server 功能，该功能可自动针对高风险（并且可能被积极利用）的安全漏洞应用临时缓解措施，以保护本地服务器免受传入攻击，并为管理员提供更多时间来应用安全更新。

此更新是在多个 Microsoft Exchange 零日漏洞被国家资助和出于经济动机的黑客组织利用 [ 1 , 2 ] 来破坏其管理员没有可用补丁或缓解信息的服务器之后发布的。

自动保护易受攻击的 Exchange 服务器

新的 Exchange Server 组件被恰当地命名为 Microsoft Exchange Emergency Mitigation (EM) 服务，它建立在 Microsoft 于 3 月份发布的 Exchange 本地缓解工具(EOMT) 的基础上，以帮助客户最大限度地减少由ProxyLogon 漏洞暴露的攻击面 。

EM 作为 Windows 服务在 Exchange 邮箱服务器上运行，在 Exchange Server 2016 或 Exchange Server 2019 上部署 2021 年 9 月（或更高版本）CU 后，它将自动安装在具有邮箱角色的服务器上。

它的工作原理是检测易受一种或多种已知威胁攻击的 Exchange 服务器，并应用临时缓解措施，直到管理员可以安装安全更新。

通过 EM 服务自动应用的缓解措施是临时修复，直到可以安装修复漏洞的安全更新并且不能替代 Exchange SU。

一旦安装在 Exchange 电子邮件服务器上，EM 服务可以应用三种类型的缓解措施：

1、IIS URL 重写规则缓解： 阻止可能危及 Exchange 服务器的恶意 HTTP 请求的特定模式的规则。

2、Exchange 服务缓解：  禁用 Exchange 服务器上的易受攻击的服务。

3、应用程序池缓解：禁用 Exchange 服务器上易受攻击的应用程序池。

可以禁用的可选功能

“这项新服务不是安装 Exchange 服务器安全更新 (SU) 的替代品，但它是在安装适用的 SU 之前减轻连接 Internet 的本地 Exchange 服务器的最高风险的最快和最简单的方法，”Exchange团队解释。

EM 是在 Exchange Server 中构建的 EOMT 版本，可与基于云的 Office 配置服务 (OCS) 配合使用，以下载和防范具有已知缓解措施的高风险错误。

如果管理员 不希望 Microsoft 自动将缓解措施应用于其 Exchange 服务器，则可以 禁用 EM 服务。

他们还可以  使用 PowerShell cmdlet 和脚本控制应用的缓解措施，从而允许查看、重新应用、阻止或删除缓解措施。

“我们的计划是仅针对最严重的安全问题发布缓解措施，例如在野外被积极利用的问题，”Exchange 团队补充道。

“由于应用缓解措施可能会降低服务器功能，我们计划仅在发现影响或严重性最高的问题时发布缓解措施。”