Microsoft发布工具可帮助您查看您的Exchange服务器是否已被Hafnium破坏

独立安装的Microsoft Exchange Server的一系列缺陷已使数十万个Exchange Server的安装受到中国黑客组织Hafnium的破许多小型企业,城镇,城市和地方政府已被感染,黑客留下了网络外壳以进行进一步的指挥和控制。
Microsoft Mrtk 2.5

Microsoft Mrtk 2.5

Microsoft发布了新的工具和指南,以帮助服务器管理员检测并缓解威胁。Microsoft已发布了免费的Exchange服务器威胁指示器工具的更新,该 工具可用于扫描Exchange服务器日志文件以确定它们是否受到威胁。

微软还为无法应用微软已于3月2日发布的带外更新的管理员发布了应急替代缓解指南。尽管即使服务器受到感染,但应用修补程序仍然是最有效的预防措施,这将是一项更大的工作。

“直到2月28日(在Microsoft发布补丁之前),Web外壳都一直在受害者系统上使用,直到今天,我们已经处理了数十种情况。”发现该漏洞的总裁Volexity总裁Steven Adair说。攻击 。“即使您在Microsoft发布补丁程序的同一天打了补丁,服务器上仍有一个Web Shell的可能性仍然很高。事实是,如果您正在运行Exchange,但尚未对此进行修补,则您的组织很有可能已经受到威胁。”

微软发言人在一份书面声明中说:“最好的保护是尽快在所有受影响的系统上应用更新。” “我们继续通过提供其他调查和缓解指导来帮助客户。受影响的客户应联系我们的支持团队,以获取更多帮助和资源。”

 

安全脚本

Test-ProxyLogon.ps1

该脚本以前称为Test-Hafnium,可自动执行Hafnium博客文章中找到的所有四个命令。它还具有进度条和一些性能调整,以使CVE-2021-26855测试运行得更快。

在此处下载最新版本:

下载Test-ProxyLogon.ps1

此脚本最典型的用法是使用Exchange命令行管理程序中的以下语法检查所有Exchange服务器并保存输出:

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

要仅检查本地服务器,只需运行脚本:

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

要显示结果而不保存结果,请从以上任一示例中删除-Outpath参数:

.\Test-ProxyLogon.ps1

BackendCookieMitigation.ps1

此缓解措施将过滤包含恶意X-AnonResource-Backend和格式不正确的X-BEResource cookie的https请求,这些请求被发现在野外的SSRF攻击中使用。这将有助于防御观察到的已知模式,而不是整个SSRF。有关更多信息,请参见脚本顶部的注释。

在此处下载最新版本:

下载BackendCookieMitigation.ps1

http-vuln-cve2021-26855.nse

该文件与nmap一起使用。它检测指定的URL是否容易受到Exchange Server SSRF漏洞(CVE-2021-26855)的攻击。有关使用情况的信息,请阅读文件顶部。

在此处下载最新版本:

下载http-vuln-cve2021-26855.nse




文件名称:CSS-Exchange

更新日期:最近

文件大小:

广


点击下载

未经允许不得转载:励志言 » Microsoft发布工具可帮助您查看您的Exchange服务器是否已被Hafnium破坏

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏