Microsoft发布一键式exchange内部地区的缓解工具,以帮助企业,他们没有专业知识,轻松解决最近披露的漏洞

2021-03-16 08:53:54

Microsoft发布了一键Exchange On-Premises缓解工具(EOMT)工具,以允许小型企业所有者轻松缓解最近披露的Proxylogon漏洞。

本月,微软透露,在对Microsoft Exchange的攻击中正在积极使用四个零天漏洞。这些漏洞是统称为Proxylogon,并且被威胁演员用于删除Web Shell,Cryptomers,更新,探索服务器上的Dearcry Ransomware。

今天,微软发布了eomt一键PowerShell脚本,以便没有专用或安全团队的小型企业所有者可以进一步帮助保护其Microsoft Exchange服务器。

"我们已经通过客户支持团队,第三方托管和合作伙伴网络积极与客户合作,帮助他们保护他们的环境并响应来自最近的Exchange Server内部攻击的相关威胁。"

"根据这些录取,我们意识到,需要一种简单,易于使用的自动化解决方案,这些解决方案将使用当前和支持的内部资源交换服务器,& #34;微软今天在博客帖子中解释。

' eomt.ps1'可以从Microsoft' s github存储库下载脚本,并且在执行时,将自动执行以下任务:

通过安装IIS URL重写模块和中止包含' X-Anonresource - 后端&#39的任何连接,减轻CVE-2021-26855服务器端请求伪造(SSRF)漏洞。和#39; x-beresource'饼干标题。

下载并运行Microsoft Safety Scanner以删除通过这些漏洞安装的已知的Web Shell和其他恶意脚本。然后,脚本将删除找到的任何恶意文件。

Microsoft建议管理员和企业所有者根据以下条件运行Exchange内部处于缓解工具(EOMT)工具:

尽快运行EOMT.PS1。这既可以尝试修复,并减轻您的服务器以防止进一步的攻击。完成后,请按照修补指南在http://aka.ms/exchangevulns上更新您的服务器

如果您使用过Microsoft的任何/所有缓解指导(交易交长,博客文章等)。

尽快运行EOMT.PS1。这两者都将尝试修复以及减轻您的服务器以防止进一步的攻击。完成后,请按照修补指南在http://aka.ms/exchangevulns上更新您的服务器

如果您已经修补了系统并受到保护,但没有调查任何对手活动,妥协指标等。

尽快运行EOMT.PS1。这将尝试修复在修补之前可能没有完整修复的现有妥协。

如果您已经修补并调查了您的系统,以获取任何妥协指标等。 运行EOMT脚本后,用户可以在C:\ EOMTSUMMARY.txt上找到日志文件,它提供有关该工具执行的任务的信息。 除了运行EOMT之外,建议管理员运行Test-Proxylogon.ps1脚本,还要检查Exchange Httproxy日志,Exchange日志文件和Windows应用程序事件日志中的妥协(IOC)指示符。