微软发布实用工具 可以帮助排查Exchange服务器是否已经被Hafnium入侵

蓝天二号

微软Exchange服务器的独立安装存在一系列缺陷，这导致了一场规模庞大的网络安全事件，有几十万台Exchange服务器的安装被黑客组织Hafnium入侵。Krebs on Security报道称，大量的小企业、城镇、城市和地方政府已经被感染，黑客在盗取了数据之余还留下了一个Web Shell，以便进一步指挥和控制。

为了快速帮助潜在受害者判断和解决问题，今天，微软发布了新的工具和指南，帮助服务器管理员检测和减轻威胁。

首先最重要的是，微软发布了免费的Exchange服务器 "入侵指标"工具的更新，该工具可用于扫描Exchange服务器的日志文件，以识别它们是否受到了入侵。

下载地址：

https://github.com/microsoft/CSS-Exchange/tree/main/Security

微软还发布了紧急替代缓解指南，供无法应用微软已于3月2日发布的内置独立更新的管理员使用。然而应用补丁仍然是最有效的预防措施，如果你的服务器被感染，全面补救将是一项更大的工作。

"到目前为止，我们已经处理了几十个案例，早在2月28日[微软宣布其补丁之前]，一直到现在，"发现攻击的Volexity总裁Steven Adair说。"即使你在微软公布补丁的同一天打了补丁，你的服务器上仍然很有可能存在一个web shell。事实是，如果你正在运行Exchange，而你还没有打补丁，那么你的网络组织很有可能已经被入侵。"

"最好的保护是尽快在所有受影响的系统中应用更新，"微软发言人在一份书面声明中说。"我们将继续通过提供额外的调查和缓解指导来帮助客户。受影响的客户应该联系我们的支持团队，以获得额外的帮助和资源。"