Microsoft 发布了本地缓解工具(EOMT)修复 ProxyLogon 漏洞

Andrew 2021-03-17
专栏 发布于 2021-03-17 11:06:22 阅读 296 评论 0

Microsoft为小型企业发布了Exchange本地缓解工具(EOMT)工具,用于修复ProxyLogon漏洞。

3月2日,微软发布了紧急带外安全更新,解决了所有受支持的MS Exchange版本中的四个零日问题(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。

这位IT巨人报告说,至少有一个与中国有联系的APT小组,称为HAFNIUM,将这些漏洞链接在一起,以访问内部部署的Exchange服务器以访问电子邮件帐户,并安装后门以维护对受害环境的访问。

漏洞披露后,立即在线共享了一些PoC漏洞,导致攻击数量激增。Check Point Research小组报告说,在24小时内,攻击尝试每两小时翻一番。

大多数攻击企图针对的是土耳其(19%),其次是美国(18%)和意大利(10%)的组织。最具针对性的部门是政府/军事部门(占所有利用尝试的17%),其次是制造业(14%),然后是银行业(11%)。

微软研究人员还发现了一个勒索软件帮派,该帮派利用ProxyLogon漏洞传播了一个被跟踪为DearCry的恶意软件。

现在,Microsoft发布了Exchange本地缓解工具(EOMT)工具,使小型企业可以快速解决最近攻击中利用的漏洞。

EOMT工具是一键式PowerShell脚本,允许没有专门安全性或IT团队的组织应用安全更新来解决CVE-2021-26855漏洞。

“ Microsoft发布了一个新的一键式缓解工具Microsoft Exchange本地缓解工具,以帮助没有专门安全性或IT团队的客户应用这些安全更新。我们已经在Exchange Server 2013、2016和2019部署中测试了此工具。” 阅读Microsoft发布的帖子。“此新工具旨在为不熟悉补丁程序/更新过程或尚未应用本地Exchange安全更新的客户提供临时缓解。”

Microsoft发布了该工具,以提供易于使用的自动化解决方案来修复本地Exchange Server的当前版本和不支持版本的缺陷,无论如何,该公司指出EOMT工具不能替代Exchange。安全更新。

Microsoft在其GitHub存储库上发布了“EOMT.ps1”脚本,执行该工具后,该工具将执行以下操作:

  • 通过URL重写配置使用CVE-2021-26855缓解当前已知的攻击
  • 使用Microsoft安全扫描仪扫描Exchange Server
  • 尝试修复Microsoft安全扫描程序检测到的危害

Microsoft提供以下系统要求:

  • PowerShell 3或更高版本
  • IIS 7.5及更高版本
  • Exchange 2013、2016或2019
  • Windows Server 2008 R2,Server 2012,Server 2012 R2,Server 2016,Server 2019

并建议在以下情况下运行Exchange内部部署缓解工具:

情况 指导
如果您迄今未采取任何措施来修补或缓解此问题,则… 尽快运行EOMT.PS1。这将尝试修复并减轻服务器的攻击。完成后,请按照修补程序指南在<http://aka.ms/exchangevulns>上更新服务器
如果您已使用Microsoft提供的任何/所有缓解指南来缓解(Exchangemitigations.Ps1,博客文章等)。 尽快运行EOMT.PS1。这将尝试补救并减轻服务器遭受进一步攻击的风险。完成后,请按照修补程序指南在<http://aka.ms/exchangevulns>上更新服务器
如果您已经打好系统补丁并受到保护,但没有调查任何攻击活动,危害指标等…。 尽快运行EOMT.PS1。这将尝试修复在修补之前可能尚未完全修复的任何现有折衷方案。
如果您已经对系统进行了修补和调查,以发现是否存在危害等迹象……。 无需采取任何措施

专家指出,Exchange本地缓解工具以快速扫描模式运行Microsoft安全扫描程序。如果管理员怀疑其安装已受到威胁,则公司建议他们以“全扫描”模式运行EOMT。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!