据外媒消息,微软已发出警告,威胁行为者正加紧利用本地部署的 Exchange Server 和 SharePoint Server 中的严重漏洞。
近几个月在针对 Exchange Server 的攻击中,NTLM 中继和凭证泄露攻击增多,攻击者利用 NTLM 身份验证协议弱点中继窃取的凭证,危及用户账户。针对 SharePoint Server 的攻击更隐蔽,威胁行为者修改合法文件、部署 RMM 工具,实现持续隐秘访问,难以被传统安全措施察觉。
为应对威胁,微软将 Windows 反恶意软件扫描接口(AMSI)集成到 Exchange 和 SharePoint Server 中。AMSI 在 IIS 管道中检查 HTTP 请求中的恶意内容,检测到威胁时实时阻止请求。这对零日漏洞防御很关键,能检测并阻止多种恶意行为。微软建议运行本地 Exchange 或 SharePoint 服务器的组织,立即应用最新安全补丁和更新,启用 AMSI 集成并确保反恶意软件解决方案处于活动状态,审核并强化 NTLM 身份验证配置,监控可疑活动。
京公网安备 11010802033237号
