据外媒消息,微软已发出警告,威胁行为者正加紧利用本地部署的 exchange server 和 sharepoint server 中的严重漏洞。
近几个月在针对 exchange server 的攻击中,ntlm 中继和凭证泄露攻击增多,攻击者利用 ntlm 身份验证协议弱点中继窃取的凭证,危及用户账户。针对 sharepoint server 的攻击更隐蔽,威胁行为者修改合法文件、部署 rmm 工具,实现持续隐秘访问,难以被传统安全措施察觉。
为应对威胁,微软将 windows 反恶意软件扫描接口(amsi)集成到 exchange 和 sharepoint server 中。amsi 在 iis 管道中检查 http 请求中的恶意内容,检测到威胁时实时阻止请求。这对零日漏洞防御很关键,能检测并阻止多种恶意行为。微软建议运行本地 exchange 或 sharepoint 服务器的组织,立即应用最新安全补丁和更新,启用 amsi 集成并确保反恶意软件凯发娱乐登录的解决方案处于活动状态,审核并强化 ntlm 身份验证配置,监控可疑活动。
