Microsoft til smv’ere: Brug dette værktøj til Exchange-servere

Af Eskil Sørensen, 16/03/21

Ny værktøj fra Microsoft stopper første del af udnyttelseskæden.

Microsoft har frigivet et ’One-click Exchange On-premises Mitigation Tool (EOMT)’ for at gøre det lettere at afhjælpe de sårbarheder, der fornyligt er blevet afdækket. Det skriver en række medier baggrund af en blogpost fra Microsoft.

Sårbarhederne, som der er fire af, kaldes samlet for Proxylogon og udnyttes i øjeblikket af trusselaktører til at sprede webshells, kryptominers og forskellige typer af ransomware verden over. Ifølge Security Week er der pt. 80.000 ikke-patchede Exchange-servere.

Værktøjet er henvendt til små virksomheder, der typisk ikke har it-afdelinger eller sikkerhedsteams til at installere opdateringerne og sikre de Exchange-servere, de har stående lokalt. Selve værktøjet er et PowerShell-script.

Microsoft skriver i sin blog, at værktøjet er udviklet på baggrund af erfaringerne fra bl.a. kundesupporten og partnernetværk, som har affødt et behov for en enkel, automatiseret løsning, der ville imødekomme kundernes behov for afhjælpning af problemer med både nuværende og ikke-understøttede versioner af lokale Exchange-server.

Scriptet 'EOMT.ps1' kan ifølge Bleeping Computer downloades fra Microsofts GitHub-arkiv, og når det udføres, udfører det automatisk følgende opgaver:

  • Tjek af, om serveren er sårbar over for ProxyLogogon-sårbarhederne.
  • Afhjælpning af CVE-2021-26855 Server-Side Request Forgery (SSRF)-sårbarheden ved installation af IIS URL Rewrite-modulet og en regel, der afbryder alle forbindelser, der indeholder cookieoverskrifterne 'X-AnonResource-Backend' og 'X-BEResource'.
  • Download af og kørsel af Microsoft Safety Scanner for at fjerne kendte webshells og andre ondsindede scripts installeret vha sårbarhederne. Scriptet fjerner derefter eventuelle ondsindede filer, der er fundet.

Microsoft foreslår, at administratorer og virksomhedsejere kører værktøjet Exchange On-Mitigation Tool (EOMT), hvis de endnu ikke har gjort noget for at patche exchangesårbarhederne, hvis de har patchet, men ikke undersøgt eget system for 'indicators of compromise' eller hvis de har afhjuplet sårbarhederne ved hjælp af hidtidigt publicerede mitigation-værktøjer.

Links:

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-one-click-exchange-on-premises-mitigation-tool/

https://www.itnews.com.au/news/microsoft-tool-provides-automated-exchange-threat-mitigation-562211

https://www.securityweek.com/microsoft-ships-one-click-mitigation-tool-exchange-attacks

https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/