Microsoft发布一键式Exchange本地缓解工具

Microsoft已发布一键式Exchange内部部署缓解工具(EOMT)工具,使小型企业所有者可以轻松缓解最近发现的ProxyLogon漏洞。

本月,Microsoft披露了针对Microsoft Exchange的攻击中正在积极使用四个零日漏洞 。这些漏洞被统称为ProxyLogon,并被威胁参与者用来丢弃 Web Shell,  Cryptominers以及最近 在被利用服务器上的 DearCry勒索软件microsoft-exchange-header

今天,Microsoft发布了EOMT一键式PowerShell脚本,以便没有专门小组或安全小组的小型企业所有者可以进一步获得帮助来保护其Microsoft Exchange服务器。

“我们一直在通过我们的客户支持团队,第三方托管服务商和合作伙伴网络与客户积极合作,以帮助他们保护环境并应对最近的Exchange Server本地攻击带来的相关威胁 。”

“在这些参与的基础上,我们意识到需要一种简单,易于使用的自动化解决方案,该解决方案可以同时使用本地和现有的Exchange Server支持版本来满足客户的需求。”今天的博客文章

可以从Microsoft的GitHub存储库下载EOMT.ps1脚本,该脚本执行后将自动执行以下任务:

  • 检查服务器是否容易受到ProxyLogogon漏洞的攻击。
  • 通过安装IIS URL重写模块和正则表达式规则来中止CVE-2021-26855服务器端请求伪造(SSRF)漏洞,该规则表达式规则将中止包含“ X-AnonResource-Backend”和“ X-BEResource” cookie标头的所有连接。
  • 下载并运行Microsoft安全扫描程序,以删除通过这些漏洞安装的已知Web Shell和其他恶意脚本。然后,脚本将删除找到的所有恶意文件。

Microsoft建议管理员和企业所有者根据以下条件运行Exchange本地缓解工具(EOMT)工具:

情况 指导
如果您迄今未采取任何措施来修补或缓解此问题,则… 尽快运行EOMT.PS1。这将尝试修复并减轻服务器的攻击。完成后,请按照修补程序指南在http://aka.ms/exchangevulns上更新服务器 
如果您已使用Microsoft提供的任何/全部缓解指南来缓解(Exchangemitigations.Ps1,博客文章等)。 尽快运行EOMT.PS1。这将尝试补救并减轻服务器遭受进一步攻击的风险。完成后,请按照修补程序指南在http://aka.ms/exchangevulns上更新服务器 
如果您已经打好系统补丁并受到保护,但没有调查任何攻击活动,危害指标等…。 尽快运行EOMT.PS1。这将尝试修复在修补之前可能尚未完全修复的任何现有折衷方案。
如果您已经对系统进行了修补和调查,以发现是否存在危害等迹象……。 无需采取任何措施

运行EOMT脚本后,用户可以在C:\ EOMTSummary.txt中找到一个日志文件,其中提供了有关该工具执行的任务的信息。

除了运行EOMT外,建议管理员运行 Test-ProxyLogon.ps1 脚本,以检查Exchange HttpProxy日志,Exchange日志文件和Windows应用程序事件日志中的危害指标(IOC)。

未经允许不得转载:励志言 » Microsoft发布一键式Exchange本地缓解工具

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏