一键修复：微软发布Exchange邮件服务器零日漏洞本地缓解工具

朦胧的风

针对近期发生的 Exchange 邮件服务器零日漏洞攻击利用，微软在发起深入调查的同时，也为客户提供了可在本地一键部署的 EOMT 缓解工具。本月早些时候，该公司披露了正被攻击者积极利用的 Exchange 零日漏洞（统称为“代{过}{滤}理登陆”/ ProxyLogon），受害者们可能遭遇 Web Shell 丢失、加密货币挖矿、以及 DearCry 勒索软件攻击等状况。


（来自：微软安全响应中心 / 博客）

好消息是，通过微软今日发布的 EOMT 一键式 PowerShell 脚本，即便没有专业安全团队的小企业客户，也都可以借此来保护他们的 Exchange 邮件服务器。

微软写道：我司一直在通过官方客户支持团队、第三方委托机构、以及合作伙伴网络，与客户开展积极的合作，以帮助他们保护服务器环境、和应对近期的 Exchange Server 本地攻击带来的相关威胁。

在此基础上，微软还意识到了需要一种简单、易于使用的自动化解决方案。它可以同时使用本地和现有的 Exchange Server 支持版本，来满足客户的相关需求。

有需要的朋友，可到微软官方的 GitHub 存储库下载 EOMT.ps1 脚本文件。运行后，它将自动执行以下任务：

● 检查服务器是否容易受到 ProxyLogon 漏洞的攻击。

● 通过安装 IIS URL 重写模块和正则表达式规则，来阻止 CVE-2021-26855 的服务器端请求伪造（SSRF）漏洞。

● 下载并运行微软安全扫描程序，以删除通过这些漏洞安装的已知 Web Shell 和其它恶意脚本。

最后，微软建议企业主和 IT 管理员参考以下条件来运行 EOMT 本地缓解工具：

● 运行脚本后，用户可在 C:\EOMTSummary.txt 路径下找到一个日志文件，其中提供了有关该工具任务执行的相关信息。

● 其次，建议管理员在运行 EOMT 之外，继续运行 Test-ProxyLogon.ps1 脚本，以检查 Exchange HttpProxy 和 Windows 应用程序的事件日志中的危害指标（IOC）。

https://www.cnbeta.com/articles/tech/1102293.htm

yyz219

还好  没有使用 Exchange 邮件服务器