Microsoft lanza la herramienta de mitigación de intercambio local con un clic

Microsoft ha lanzado una herramienta de mitigación local de Exchange (EOMT) con un solo clic para permitir a los propietarios de pequeñas empresas mitigar fácilmente las vulnerabilidades de ProxyLogon reveladas recientemente.

Este mes, Microsoft reveló que cuatro vulnerabilidades de día cero se utilizaron activamente en ataques contra Microsoft Exchange. Estas vulnerabilidades se conocen colectivamente como ProxyLogon y los autores de amenazas las utilizan para lanzar shells web, criptomineros y, más recientemente, el ransomware DearCry en servidores explotados.

Hoy, Microsoft lanzó el script PowerShell de un clic de EOMT para que los propietarios de pequeñas empresas que no tienen equipos dedicados o de seguridad puedan obtener ayuda adicional para proteger sus servidores Microsoft Exchange.

"Hemos trabajado activamente con los clientes a través de nuestros equipos de atención al cliente, proveedores de alojamiento de terceros y redes de socios para ayudarlos a proteger sus entornos y responder a las amenazas asociadas del ataques recientes de Exchange Server local. "

"Basándonos en estos compromisos, nos dimos cuenta de que existía la necesidad de una solución simple, fácil de usar y automatizada que satisfaga las necesidades de los clientes que utilizan versiones actuales y no compatibles de Exchange Server local", explica Microsoft en un entrada en el blog hoy dia.

Los 'EOMT.ps1'se puede descargar desde Repositorio de GitHub de Microsofty, una vez hecho esto, realizará automáticamente las siguientes actividades:

• Compruebe si el servidor es vulnerable a las vulnerabilidades de ProxyLogon.
• Mitigue la vulnerabilidad CVE-2021-26855 de falsificación de solicitudes del lado del servidor (SSRF) instalando el módulo de reescritura de URL de IIS y una regla de expresión regular que interrumpa cualquier conexión que contenga los encabezados de cookies "X-AnonResource-Backend" y "X-BEResource".
• Descarga y ejecuta Microsoft Safety Scanner para eliminar shells web conocidos y otros scripts maliciosos instalados a través de estas vulnerabilidades. La secuencia de comandos eliminará todos los archivos maliciosos encontrados.

Microsoft recomienda que los administradores y propietarios de empresas ejecuten la Herramienta de mitigación local de Exchange (EOMT) en las siguientes condiciones:

Situación	Guía
Si no ha hecho nada hasta la fecha para corregir o mitigar este problema ...	Ejecute EOMT.PS1 lo antes posible, para intentar reparar y mitigar sus servidores de nuevos ataques. Una vez completado, siga la guía de parches para actualizar sus servidores http://aka.ms/exchangevulns
Si ha mitigado el uso de alguna o todas las pautas de mitigación proporcionadas por Microsoft (Exchangemitigations.Ps1, publicación de blog, etc.)	Ejecute EOMT.PS1 lo antes posible. Esto intentará remediar y mitigar sus servidores de más ataques. Una vez completado, siga la guía de parches para actualizar sus servidores http://aka.ms/exchangevulns
Si ya ha parcheado sus sistemas y está protegido, pero NO ha investigado ninguna actividad adversa, indicadores de compromiso, etc.	Ejecute EOMT.PS1 lo antes posible. Esto intentará corregir cualquier compromiso existente que no se haya resuelto por completo antes de aplicar el parche.
Si ya ha parcheado y escaneado sus sistemas en busca de indicadores de compromiso, etc.	No se requiere ninguna acción

Después de ejecutar el script EOMT, los usuarios pueden encontrar un archivo de registro en C: EOMTSummary.txt que proporciona información sobre las actividades realizadas por la herramienta.

Además de ejecutar EOMT, se recomienda a los administradores que ejecuten el archivo Prueba-ProxyLogon.ps1 scripts para comprobar también los indicadores de compromiso (IOC) en los registros de Exchange HttpProxy, en los archivos de registro de Exchange y en los registros de eventos de la aplicación de Windows.