Os desenvolvedores da Microsoft lançaram uma ferramenta chamada EOMT (Ferramenta de mitigação local do Exchange) projetado para instalar atualizações em servidores Microsoft Exchange e corrigir vulnerabilidades do ProxyLogon com um clique.
O utilitário já está disponível para download no site GitHub da empresa.
No início de março 2021, Engenheiros da Microsoft lançou patches não programados para quatro vulnerabilidades no servidor de email Exchange, que os pesquisadores apelidaram Proxy Logon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065).
Especialistas da Palo Alto Networks e Microsoft estimativa que ainda existem cerca de 80,000 servidores Exchange vulneráveis disponíveis na rede que podem ser comprometidos.
Atualmente, ataques a servidores vulneráveis são realizados por cerca de 10 hackear grupos, implantando shells da web, mineradores e ransomware nos servidores.
Em primeiro lugar, EOMT é destinado a empresas sem especialistas de TI próprios que possam entender o problema do ProxyLogon e instalar corretamente as atualizações necessárias.
O fato é que também pode haver problemas na instalação de patches. Por exemplo, foi anteriormente relatado que as atualizações do Microsoft Exchange podem ser instaladas sem muitos patches necessários se o UAC estiver habilitado. Como resultado, você precisa instalar atualizações apenas em nome do administrador.
A Microsoft agora espera que qualquer pessoa na empresa possa fazer o download e a atualização do EOMT simplesmente clicando em EOMT.ps1. O script instalará a configuração de URL Rewrite no servidor, o que será suficiente para consertar o CVE-2021-26855 erro, que é o ponto de partida para a cadeia de exploração, conhecidos coletivamente como ProxyLogon.
A ferramenta também inclui uma cópia do Verificador de segurança da Microsoft, que verificará os servidores Exchange em busca de web shells conhecidos que foram vistos anteriormente atacando o ProxyLogon. Se necessário, O Microsoft Safety Scanner removerá o backdoor e bloqueará o acesso de cibercriminosos.
Deixe-me também lembrá-lo que recentemente Pesquisador publicou exploração PoC para vulnerabilidades de ProxyLogon no Microsoft Exchange, embora depois de um tempo GitHub removeu a exploração do ProxyLogon e foi criticado.
