Microsoft 发布针对 Microsoft Exchange Server 漏洞的 IoC 检测工具

Microsoft本周发布了紧急带外安全更新，解决了所有受支持的MS Exchange版本中的四个零日问题(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。

为响应此披露，美国网络安全和基础结构安全局（CISA）已发布紧急指令21-02，以响应Microsoft Exchange中的零日漏洞的披露。

微软透露，至少有一个与中国有联系的APT组织，称为HAFNIUM，将这些漏洞链接在一起，以访问内部部署的Exchange服务器以访问电子邮件帐户，并安装后门以维护对受害环境的访问。

美国CISA的紧急指令要求联邦机构紧急更新或断开MS Exchange本地安装。

MS Exchange Server团队的研究人员已经发布了一个脚本，管理员可以使用该脚本来检查其安装是否容易受到最近发现的漏洞的攻击。

微软在GitHub上以开源形式发布了该工具，该工具可用于检查Exchange服务器的状态。

“此脚本以前称为Test-Hafnium，它可以自动执行Hafnium博客文章中的所有四个命令 。” 微软说。“它还具有进度条和一些性能调整，以使CVE-2021-26855测试运行得更快。

单击此处下载最新版本：Download Test-ProxyLogon.ps1。

此脚本最典型的用法是检查所有Exchange服务器并保存输出，”

该脚本可自动测试Microsoft Exchange Server中四个零日漏洞的测试。

“ Microsoft发布了更新的脚本，该脚本扫描Exchange日志文件以查找与 2021年3月2日披露的漏洞相关的危害指标（IOC）。” 国家CISA。

“CISA知道在国内和国际上已广泛利用这些漏洞，并强烈建议组织尽快运行Test-ProxyLogon.ps1脚本，以帮助确定其系统是否受到威胁。有关脚本的更多信息，请参阅Microsoft博客HAFNIUM，其目标是使用零日漏洞的Exchange Server。”