针对近期发生的 Exchange 邮件服务器零日漏洞攻击利用,微软在发起深入调查的同时,也为客户提供了可在本地一键部署的 EOMT 缓解工具。本月早些时候,该公司披露了正被攻击者积极利用的 Exchange 零日漏洞(统称为“代理登陆”/ ProxyLogon),受害者们可能遭遇 Web Shell 丢失、加密货币挖矿、以及 DearCry 勒索软件攻击等状况。
(来自:微软安全响应中心 / 博客)
好消息是,通过微软今日发布的 EOMT 一键式 PowerShell 脚本,即便没有专业安全团队的小企业客户,也都可以借此来保护他们的 Exchange 邮件服务器。
微软写道:我司一直在通过官方客户支持团队、第三方委托机构、以及合作伙伴网络,与客户开展积极的合作,以帮助他们保护服务器环境、和应对近期的 Exchange Server 本地攻击带来的相关威胁。
在此基础上,微软还意识到了需要一种简单、易于使用的自动化解决方案。它可以同时使用本地和现有的 Exchange Server 支持版本,来满足客户的相关需求。
有需要的朋友,可到微软官方的 GitHub 存储库下载 EOMT.ps1 脚本文件。运行后,它将自动执行以下任务:
● 检查服务器是否容易受到 ProxyLogon 漏洞的攻击。
● 通过安装 IIS URL 重写模块和正则表达式规则,来阻止 CVE-2021-26855 的服务器端请求伪造(SSRF)漏洞。
● 下载并运行微软安全扫描程序,以删除通过这些漏洞安装的已知 Web Shell 和其它恶意脚本。
最后,微软建议企业主和 IT 管理员参考以下条件来运行 EOMT 本地缓解工具:
● 运行脚本后,用户可在 C:\EOMTSummary.txt 路径下找到一个日志文件,其中提供了有关该工具任务执行的相关信息。
● 其次,建议管理员在运行 EOMT 之外,继续运行 Test-ProxyLogon.ps1 脚本,以检查 Exchange HttpProxy 和 Windows 应用程序的事件日志中的危害指标(IOC)。