針對Exchange重大漏洞，多家資安廠商提出建議的緩解措施

微軟於3月2日修補Exchange重大漏洞，這些漏洞主要影響Exchange 2013至2019等版本，由於相關漏洞遭到濫用的情況急劇惡化，使得許多資安專家相繼呼籲，網管人員應該儘速安裝修補程式，以免Exchange伺服器成為這波漏洞攻擊的受害者，但究竟要如何緩解這些漏洞可能帶來的影響？近日我們看到Fortinet、Palo Alto Networks、Sophos等資安業者，紛紛提出建議，並指出修補漏洞只是第一步，後續企業或政府機關應該清查是否有遭到攻擊的情況，甚至可能要進行相關的事件回應（IR）。

具體來說，這裡3家資安業者提到的相關緩解與清查工具如下：

漏洞緩解措施

1. Exchange修補程式KB5000871
2. 緩解工具Exchange On-Premises Mitigation Tool（EOMT）

受害情況清查

1. 漏洞濫用調查工具Test-ProxyLogon.ps1
2. 惡意網頁殼層掃描工具Microsoft Safety Scanner（MSERT）
3. 檢查Exchange檔案是否遭竄改工具CompareExchangeHashes.ps1

安裝修補程式是防堵相關攻擊的第一步

從Fortinet、Palo Alto Networks、Sophos提出的說明當中，這3家廠商不約而同強調，企業與政府機關應該要先修補漏洞（Patch First）。但對於執行的過程中，他們也提出必須留意的細節。

例如，Palo Alto指出，微軟本次推出的修補程式KB5000871，初期存在著Exchange必須安裝指定版本的累積更新包（Cumulative Update，CU）才能適用的情況，換言之，當時用戶想要緩解相關漏洞，可能得事先安裝對應的累積更新包，才能修補漏洞。

這段期間，微軟也陸續對安裝不同CU的Exchange伺服器，提供專用的修補程式KB5000871。因此，現在網管人員在修補之前，雖然不需事先安裝特定版本的CU，但還是需要確認Exchange伺服器的版本，以及已安裝的CU，才能取得適用的修補程式。此外，對於Exchange 2016與2019的用戶，微軟也於近期推出包含相關修補程式的累積更新包，分別為Exchange 2016 CU 20，以及Exchange 2019 CU 9。換言之，網管人員也可以選用這些累積更新包進行修補作業。

無法安裝修補程式的用戶也應採取其他緩解措施

但針對無法停機等因素，有些Exchange伺服器面臨無法安裝修補程式的情況，Sophos則提醒網管人員，可採用微軟提供的暫時緩解措施，藉由手動調整、停用Exchange部分功能來達到目的。這些措施包括：在Exchange過濾器加入IIS覆寫規則，以及停用整合通訊服務（Unified Messaging）、離線通訊錄（OAB）的虛擬目錄等。採用調整上述功能的緩解方法，近期微軟也提供了自動化指令工具Exchange On-Premises Mitigation Tool（EOMT）。

對於許多無法修補Exchange，或是調整相關設定的用戶，上述資安廠商也透過IPS特徵碼的方式，提供虛擬修補。以Fortinet而言，已在3月3日至4日推出4個FortiGuard的IPS修補程式，此外，他們旗下的FortiEDR和FortiXDR事件偵測與回應系統，能夠偵測並封鎖濫用相關漏洞的行為。

而Palo Alto則是對於旗下次世代防火牆，推出8380版的威脅預防情資包來進行防範。至於Sophos，也在他們旗下的防火牆、UTM、端點防護系統Intercept X Advanced，加入相關的IPS特徵碼，該公司亦針對防毒軟體的部分，納入識別網頁殼層（Web Shell）和惡意酬載的特徵碼。

緩解漏洞後需釐清可能受害的範圍

在完成修補或是執行上述緩解作業之後，接下來就是應該確認有那些Exchange伺服器受害。Palo Alto與Sophos指出，這裡可以透過微軟提供的工具進行檢查。這些工具包含了PowerShell指令碼Test-ProxyLogon.ps1，以及安全掃描工具Microsoft Safety Scanner（MSERT）等。前者藉著檢查Exchange伺服器和IIS事件記錄的方式，來確認漏洞是否遭到濫用；後者則能掃描是否存在可能會帶來危害的網頁殼層。

此外，對於已有勒索軟體DearCry濫用相關漏洞入侵Exchange伺服器的現象，Sophos也提到網管人員可運用微軟提供的指令碼CompareExchangeHashes.ps1，能比對Exchange的檔案完整性，檢查相關檔案是否出現遭到竄改的情況。

但在這些漏洞檢測工具之外，無論Fortinet、Palo Alto或是Sophos，他們也提醒自家用戶，可透過對應的資安事件調查系統來進行事件調查，並提供有關的操作步驟。