Microsoft正在采取下一步措施，以确保本地Exchange安装的安全。Microsoft defender不仅检测到由于proxyLogon漏洞引起的系统感染。病毒扫描程序还可以自动检测易受攻击的系统，并关上Exchange server上的CVE-2021-26855漏洞。

　　数十万台Exchange服务器易受攻击

　　毕竟，在2021年3月开始时，你们已经了解本地Exchange server 2013 – 1019版本中存在四个漏洞，这些漏洞允许通过接管来破坏安装。涉嫌与国家有联系的中国黑客组织Hafnium几个月来都设法利用这些漏洞渗透了本地Exchange server。直到2021年3月2日，该漏洞才被安全升级所关上。我已经在各种博客文章中对此漏洞进行了报道(请参阅文章结尾的链接)。

　　攻击者的目标是控制受害者的电子邮件，并或许通过Active directory权限访问和渗透其网络基础结构。世界各地的管理员都在忙于保护Exchange服务器，这些服务器可以通过internet通过端口443进行访问，并且简单受到攻击。自2021年2月下旬以来，一直在进行大规模扫描，以破坏易受攻击的Exchange服务器并安装web shell作为后门。安全供应商确定了170,000至280,000个潜在易受攻击的Exchange实例。

　　Microsoft确实发布了工具来检测受感染的Exchange系统。此外，过去两周来，9,000台Exchange服务器已在德国脱机，或者阻止了从internet访问owA。但是，在德国具有开放式owA的56,000台Exchange服务器中，大约有12,000台仍然简单受到proxyLogon的攻击。同时，网络犯罪分子和至少十个威胁行为者也通过漏洞来瞄准易受攻击的Exchange系统，并用勒索软件或加密矿工对其进行感染。

　　Microsoft已发布powershell脚本和工具来检测Exchange server上的感染(请参阅本文结尾处的链接)并进行修复(Microsoft Exchange(本地)一键式缓解工具(EoMT)已发布)。但这或许不足以快速掌握Exchange server实例。

　　Microsoft defender加强Exchange安装

　　伴随网络犯罪分子继续利用未修补的本地版本的Exchange server 2013、2016和2019，Microsoft正在积极与客户和合作朋友合作以协助他们保护Exchange server系统。除了安全升级和Microsoft Exchange(本地)一键缓解工具(EoMT)外，win defender还能够检测到某些恶意软件。

　　Microsoft刚刚宣布，Microsoft defender和system Center Endpoint protection均已得到正式，可以自动缓解Exchange server 2013-2019的未修补实例中的CVE-2021-26855漏洞。通过最新的安全智能升级，Microsoft defender防病毒和system Center Endpoint protection可以自动缓解所有易受攻击的Exchange服务器上的CVE-2021-26855漏洞。

　　所需要做的便是在Exchange服务器上安装以上防病毒程序之一。用户客户只需要确保已安装了最新的security intelligence update(内部版本1.333.747.0或更高版本)就可以。如果启用了自动升级，此新版本将自动出现。

　　扫描将缓解CVE-2021-26855漏洞。此外，会对服务器进行扫描，然后将或许发现的已知攻击者的任何篡改撤消。此初步缓解措施旨在协助客户保护自己，并留出时间为他们的版本安装最新的Exchange累积升级。