APP下载

微软释出Exchange Server漏洞的一键缓解工具

消息来源:baojiabao.com 作者: 发布时间:2024-03-19

报价宝综合消息微软释出Exchange Server漏洞的一键缓解工具

EOMT工具旨在缓解CVE-2021-26855漏洞造成的威胁,提高骇客攻击门槛,只能用在修补空窗期,微软督促Exchange Server用户仍应安装完整的更新。(图片来源/微软)

为了协助Exchange Server用户解决已至少被逾10个骇客组织锁定的安全漏洞,微软周一(3/15)释出了Microsoft Exchange On-Premises Mitigation Tool(EOMT),用户安装后只要一键就能缓解因CVE-2021-26855漏洞所招致的安全威胁,还能清除由已知威胁所造成的变更。

目前全球约有40万台就地部署的Exchange Server,微软是在3月2日紧急修补了包含CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065的ProxyLogon漏洞,继之在3月11日时也针对已失去支援的旧版Exchange Server进行修补,微软估计所释出的更新已覆盖曝露于全球公开网络之Exchange Server的95%。不过在3月12日时,尚有8.2万台Exchange Server尚未修补ProxyLogon漏洞。

由于骇客的攻击目标主要锁定部署Exchange Server的中、小企业,但根据微软与这些客户的交流,它们需要更简单且容易使用的工具,使得微软打造了EOMT,以让不熟悉修补程序、缺乏IT团队或尚未安装更新的客户,得以暂时缓解相关的攻击。

微软说,EOMT适用于尚未采取任何修补或缓解行动的Exchange Server用户,就算是之前曾经使用任何微软所提供之缓解措施的用户,也应立即执行EOMT,此外,假设用户已部署了更新程式,但并未调查是否曾于部署前遭骇,也适合利用EOMT来判断及撤销骇客的变更。

EOMT主要可自动缓解CVE-2021-26855漏洞所造成的威胁,这是一个服务器请求伪造(SSRF)漏洞,允许骇客传送任意的HTTP请求,并被验证为Exchange Server,属于攻击链中的第一步,若未能开采CVE-2021-26855,骇客要触发ProxyLogon中的其它漏洞,就必须先取得管理员的凭证或是诱导管理员开启恶意档案,将提高攻击门槛,使得微软决定从该漏洞着手。

在用户下载并执行EOMT之后,它就会自动透过URL Rewrite配置以缓解CVE-2021-26855漏洞,接着执行Microsoft Safety Scanner来扫描系统上的恶意程式,同时撤销由已知威胁所作的变更。

使用EOMT必须注意两件事,一为它仅是个暂时缓解工具,只能用在修补空窗期,微软督促Exchange Server用户仍应安装完整的更新,其次则是它只可处理已知的威胁,无法保证对之后所有的攻击行动都有效。迄今微软已于Exchange Server 2013、2016及2019上测试EOMT,显示它并不会影响这些产品的功能。

2021-03-16 15:48:00

相关文章