Microsoft sẽ kích hoạt Exchange Extended Protection theo mặc định trong thời gian tới

Bảo vệ Mở rộng (EP) là một tính năng tăng cường chức năng xác thực Windows Server nhằm giảm thiểu việc tấn công chuyển tiếp xác thực hoặc tấn công "man in the middle" (MitM).

"Ngày hôm nay, chúng tôi muốn thông báo rằng bắt đầu từ Bản cập nhật tích lũy H2 năm 2023 (CU) cho Exchange Server 2019 (còn được gọi là CU14), EP sẽ được kích hoạt theo mặc định khi cài đặt CU14 (hoặc phiên bản sau)", đội ngũ Exchange cho biết hôm nay.

"Exchange Server 2019 hiện đang trong Giai đoạn Hỗ trợ Chính thống và là phiên bản duy nhất vẫn nhận các Bản cập nhật tích lũy."

Trong khi CU14 sẽ kích hoạt EP trên tất cả các máy chủ Exchange sau khi triển khai, các quản trị viên vẫn có thể chọn không sử dụng bằng cách sử dụng trình cài đặt CU dòng lệnh (phiên bản GUI sẽ tự động kích hoạt, trong khi các trình cài đặt không giám sát yêu cầu tùy chỉnh để chọn không sử dụng).

Microsoft đề xuất thực hiện các bước sau, tùy theo bản cập nhật bảo mật bạn đã cài đặt:

Bản cập nhật bảo mật Tháng 8 năm 2022 hoặc sau đó và EP đã được kích hoạt: Cài đặt CU14 (không cần bước đặc biệt nào).
Bản cập nhật bảo mật Tháng 8 năm 2022 hoặc sau đó, nhưng EP chưa được kích hoạt: Cài đặt CU14 với mặc định 'Kích hoạt EP' để lại.
Phiên bản Exchange Server trước Bản cập nhật bảo mật Tháng 8 năm 2022: "Chúng tôi gửi tới bạn những suy nghĩ và lời cầu nguyện, cùng với hướng dẫn mạnh mẽ nhưng nhẹ nhàng để cập nhật máy chủ của bạn lên phiên bản mới nhất ngay lập tức."

Redmond đã thêm hỗ trợ EP cho Exchange Server vào bản cập nhật bảo mật Tháng 8 năm ngoái, khi cũng cảnh báo các quản trị viên rằng một số lỗ hổng sẽ đòi hỏi họ kích hoạt tính năng trên các máy chủ bị ảnh hưởng để chặn hoàn toàn các cuộc tấn công.

Kể từ đó, công ty đã cung cấp một kịch bản riêng để tự động bật hoặc tắt EP trên các máy chủ Exchange trong toàn bộ tổ chức, một kịch bản sẽ tự động cập nhật với các bản sửa lỗi mới nhất trên các hệ thống kết nối với Internet.

"Chúng tôi khuyến nghị tất cả các khách hàng kích hoạt EP trong môi trường của họ. Nếu máy chủ của bạn đang chạy Bản cập nhật bảo mật Tháng 8 năm 2022 hoặc sau đó, thì chúng đã hỗ trợ EP", Microsoft cho biết.

"Nếu bạn có bất kỳ máy chủ nào cũ hơn Bản cập nhật bảo mật Tháng 8 năm 2022, thì máy chủ của bạn sẽ tiếp tục bị lỗ hổng và cần phải được cập nhật ngay lập tức.

"Hơn nữa, nếu bạn có bất kỳ máy chủ Exchange nào cũ hơn Bản cập nhật bảo mật Tháng 8 năm 2022, bạn sẽ làm hỏng giao tiếp từ máy chủ đến máy chủ với các máy chủ đã kích hoạt EP."

Microsoft cũng thúc đẩy khách hàng vào tháng 1 để duy trì máy chủ Exchange trong nội trời của họ luôn được cập nhật bằng cách cài đặt Bản cập nhật tích lũy (CU) được hỗ trợ mới nhất để luôn sẵn sàng triển khai các bản vá bảo mật khẩn cấp.

Các máy chủ Exchange là mục tiêu quý giá, như được chứng minh bởi các nhóm tội phạm mạng với động cơ tài chính như FIN7, đã phát triển một nền tảng tấn công được thiết kế đặc biệt để xâm nhập vào các máy chủ Exchange.

Theo công ty tình báo đe dọa Prodaft, nền tảng Checkmarks của FIN7 đã được sử dụng để xâm nhập vào hơn 8.000 công ty, chủ yếu

 tại Hoa Kỳ, sau khi quét hơn 1,8 triệu mục tiêu.