Разработчики Microsoft выпустили инструмент под названием EOMT (Exchange On-premises Mitigation Tool), предназначенный для установки обновлений на серверы Microsoft Exchange в один клик и защиты от уязвимостей ProxyLogon. Утилита уже доступна для загрузки на GitHub компании.
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
По подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
В настоящее время атаки на уязвимые серверы совершают около 10 хак-групп, разворачивая на серверах веб-шеллы, майнеры и шифровальщики.
В первую очередь EOMT предназначен для компаний без собственных ИТ-специалистов, которые могли бы разобраться в проблеме ProxyLogon и корректно установить необходимые обновления. Дело в том, что с установкой патчей тоже могут возникнуть проблемы. К примеру, ранее сообщалось, что обновления для Microsoft Exchange могут устанавливаться без столько необходимых патчей если включен UAC. В итоге нужно устанавливать обновления только от лица администратора.
Теперь в Microsoft надеются, что любой сотрудник компании справится с загрузкой EOMT и выполнит обновление, просто кликнув по EOMT.ps1. Скрипт установит на сервере конфигурацию URL Rewrite, чего будет достаточно для устранения бага CVE-2021-26855, который является отправной точкой для работы цепочки эксплоитов, известных под общим названием ProxyLogon.
Также инструмент включает в себя копию Microsoft Safety Scanner, который будет сканировать серверы Exchange в поисках известных веб-шеллов, которые ранее были замечены в атаках на ProxyLogon. В случае необходимости Microsoft Safety Scanner удалит бэкдор и закроет доступ злоумышленниками.