يبلغ عدد Microsoft Exchange Servers غير المصححة حوالي 30000، انخفاضًا من أعلى مستوى يبلغ حوالي 400000.
انخفاض كبير في خوادم Microsoft Exchange الضعيفة
العدد الإجمالي الدقيق لخوادم Microsoft Exchange المعرضة للخطر غير معروف.
ومع ذلك، في 2 مارس، عندما أصدرت Microsoft المجموعة الأولى من تصحيحات الأمان، كان حوالي 400000 خادم Exchange عرضة لثغرة ProxyLogon. بعد أسبوع واحد من إطلاق وتنفيذ التصحيحات الأمنية، في 9 مارس، انخفض هذا الرقم إلى حوالي 100000 خادم غير مصحح.
الآن، يشير أحدث تقرير لشركة Microsoft إلى أنه لا يزال هناك أقل من 30000 خادم Exchange عرضة للخطر.
Our work continues, but we are seeing strong momentum for on-premises Exchange Server updates:
— Security Response (@msftsecresponse) March 22, 2021
• 92% of worldwide Exchange IPs are now patched or mitigated.
• 43% improvement worldwide in the last week. pic.twitter.com/YhgpnMdlOX
منذ تلك التغريدة، من المحتمل أن الرقم قد انخفض أكثر.
اتخذت Microsoft خطوات جوهرية نحو حماية خوادم Microsoft Exchange المعرضة للخطر في مواجهة ثغرة ProxyLogon المطولة. على سبيل المثال، أداة Exchange On-Premises Mitigation Tool EOMT عبارة عن أداة تصحيح ProxyLogon بنقرة واحدة تسهل على عملاء Microsoft Exchange Server تأمين البنية الأساسية الخاصة بهم بسرعة.
أضافت Microsoft أيضًا أداة التصحيح التلقائي Microsoft Defender. وفقًا لمنشور على مدونة Microsoft Security الرسمية، فإن العملاء الذين يستخدمون Microsoft Defender Antivirus و System Center Endpoint Protection سوف "يخففون تلقائيًا من CVE-2021-26855 على أي خادم Exchange ضعيف يتم نشره عليه."
هل هذه نهاية ProxyLogon؟
كان ProxyLogon يمثل مشكلة خطيرة لعملاء Microsoft Exchange Server. أثر الهجوم على عشرات الآلاف من الخوادم التي تغطي الشركات من جميع الأشكال والأحجام.
جمعت ثغرة ProxyLogon معًا أربع ثغرات يوم الصفر لمهاجمة خوادم Microsoft Exchange. بعد الكشف عن الثغرة الأمنية، أبلغت العديد من الصناعات حول العالم عن زيادة في الهجمات، حيث أبلغ عملاء Microsoft Exchange Server عن البرامج الضارة لتعدين العملات المشفرة، وأنواع مختلفة من برامج الفدية، وقذائف الويب web shells، وأكثر من ذلك يتم نشرها من قبل الأطراف الخبيثة.
وجدت إحدى مشاركات مدونة ESET Research أن خوادم Microsoft Exchange Server تعرضت للهجوم من "10 مجموعات على الأقل من مجموعات APT [التهديد المستمر المتقدم Advanced Persistent Threat]"، وجميعهم كانوا يسعون للاستفادة من الثغرة الأمنية.
لاحظنا أن جهات التهديد الأخرى استخدمت الثغرات الأمنية، بدءًا من Tick وانضم إليها بسرعة LuckyMouse و Calypso و Winnti Group. يشير هذا إلى أن العديد من الجهات الفاعلة في التهديد قد تمكنت من الوصول إلى تفاصيل الثغرات الأمنية قبل إصدار التصحيح، مما يعني أنه يمكننا تجاهل إمكانية قيامهم ببناء استغلال عن طريق الهندسة العكسية لتحديثات Microsoft.