Microsoft, Office Yapılandırma Hizmeti sertifika türü kullanımdan kaldırıldığı için eski Exchange sunucularının yeni acil durum azaltma tanımlarını alamadığını söylüyor.
Acil durum azaltımları (EEMS azaltımları olarak da bilinir), üç yıl önce Eylül 2021’de kullanıma sunulan Exchange Acil Durum Azaltma Hizmeti (EEMS) aracılığıyla sağlanır.
EEMS, şirket içi Exchange sunucularını saldırılara karşı korumak amacıyla yüksek riskli (ve muhtemelen aktif olarak yararlanılan) güvenlik kusurlarına yönelik geçici azaltmaları otomatik olarak uygular. Exchange Sunucularının bilinen tehditlere karşı savunmasız olduğunu tespit eder ve güvenlik güncellemeleri yayımlanana kadar geçici azaltma önlemleri uygular.
EEMS, Exchange Posta Kutusu sunucularında bir Windows hizmeti olarak çalışır ve Exchange Server 2016 veya Exchange Server 2019’da Eylül 2021 (veya üzeri) toplu güncelleştirmeleri dağıttıktan sonra Posta Kutusu rolüne sahip sunuculara otomatik olarak yüklenir.
Ancak Exchange Ekibine göre EEMS, Office Yapılandırma Hizmeti (OCS) ile “iletişim kuramıyor” ve Mart 2023’ten daha eski Exchange sürümlerini çalıştıran güncel olmayan sunuculara yeni geçici güvenlik azaltımlarını indiremiyor; bunun yerine “Hata, MSExchange”i tetikliyor Azaltma Hizmeti” etkinlikleri.
“OCS’deki eski sertifika türlerinden biri kullanımdan kaldırılıyor. OCS’de yeni bir sertifika zaten dağıtıldı ve Mart 2023’ten daha yeni herhangi bir Exchange Sunucusu Toplu Güncelleştirmesi (CU) veya Güvenlik Güncelleştirmesi (SU) ile güncellenen tüm sunucular, Değişim Ekibi bugün, yeni EEMS azaltımlarını kontrol edebileceklerini söyledi.
“Sunucularınız çok güncel değilse lütfen e-posta iş yükünüzü güvence altına almak için sunucularınızı en kısa sürede güncelleyin ve EEMS kurallarını kontrol etmek için Exchange sunucunuzu yeniden etkinleştirin. Sunucularınızı her zaman güncel tutmak önemlidir. Exchange Server Health’i Çalıştırmak Checker her zaman sana ne yapman gerektiğini söyleyecektir!”
Bu özellik, devlet destekli ve finansal motivasyona sahip bilgisayar korsanlarının Exchange sunucularını ihlal etmek için yamaları veya azaltma bilgileri olmayan ProxyLogon ve ProxyShellzero-days’ı istismar etmesinden sonra eklendi.
Mart 2021’de, Microsoft tarafından Hafnium olarak bilinen Çin destekli bir tehdit grubu da dahil olmak üzere en az on bilgisayar korsanlığı grubu ProxyLogon’dan yararlandı.
Microsoft ayrıca müşterilerini iki yıl önce, Ocak 2023’te, desteklenen en son Toplu Güncelleştirmeyi (CU) uygulamaya ve acil durum güvenlik güncelleştirmelerini dağıtmaya her zaman hazır olduklarından emin olmak için şirket içi Exchange sunucularını yamalanmış halde tutmaya çağırdı.