Exchange üzemeltetők figyelem: gyors segítség a ProxyLogon probléma kezeléséhez

 

A ProxyLogon sebezhetőségeket kihasználó támadások száma meredeken emelkedik, ezért a Microsoft úgy döntött, hogy egy egyszerűen használható megoldással segíti a védekezést. Az Exchange On-premises Mitigation Tool (EOMT) névre keresztelt szkript (EOMT.ps1) futtatáskor több dolgot is tesz. Először is ellenőrzi, hogy a telepített Exchange kiszolgáló sérülékeny-e. Amennyiben igen, hatástalanítja a CVE-2021-26855 számú sérülékenység lehetséges kihasználását, azáltal, hogy telepíti az IIS URL Rewrite modult, valamint egy reguláris kifejezés-alapú szabályt, amely egészen egyszerűen megszakít minden olyan kapcsolatot, amiben X-AnonResource-Backend vagy X-BEResource süti (cookie) fejlécek szerepelnek. Ezt követően letölti, és futtatja a Microsoft Safety Scanner legfrissebb verzióját, annak érdekében, hogy eltávolítsa az ismert webshelleket és más kártevőket, végül készít egy naplóbejegyzést (C:\EOMTSummary.txt) az elvégzett lépésekről. (Az EOMT  mellett a Test-ProxyLogon.ps1 szkript alkalmazása is javasolt, amely Exchange HttpProxy és Exchange naplóbejegyzések, valamint Windows Application eseménylogok között keres támadásra utaló nyomokat.)

A Microsoft szerint a szkript futtatása csak abban az esetben nem javasolt, amennyiben a biztonsági frissítések telepítése mellett a nyilvánosságra hozott indikátorok alapján alapos rendszervizsgálat történt.

(bleepingcomputer.com)