Microsoft Exchange（本地）一键缓解工具（EOMT）已发布

　　Microsoft已于2021年3月15日发布了onclick Microsoft Exchange(本地)缓解工具(EOMT)。该工具旨在提供一键式解决方案，以缓解CVE-2021-26855国际象棋漏洞。 -预先安装Exchange Server，主要供小型公司的管理员使用。

　　今天晚上，我已经在Bleeping Computer的同事的Twitter上注意到它-Microsoft在MSRC博客文章中介绍了该工具。

　　关于EOMT的注意事项

　　微软关闭了本地Exchange服务器的四个漏洞(请参阅积极利用Exchange服务器的0天漏洞)之后的一个星期，这家总部位于雷德蒙德的公司必须意识到，特别是小型企业的管理员在无意中被淹没了。可以快速修补其本地Exchange服务器并在感染后对其进行保护。因此，开发人员可以创建一个“即点即用”解决方案，可以这么说，该解决方案旨在帮助没有专门安全性或IT团队的客户立即应用所提供的安全更新。EOMT旨在执行以下操作：

　　• 该工具运行Microsoft安全扫描程序。该工具会扫描计算机中是否存在感染，因此可以找到并删除已知的恶意软件。

　　• 执行该工具时，通过使用IIS URL重写模块阻止cookie标头，可以自动缓解CVE-2021-26855漏洞。

　　• 它还会检查受影响的Exchange Server的补丁程序级别，并将其报告给管理员。

　　Microsoft Exchange本地缓解工具(EOMT)已由Microsoft在Exchange Server 2013-，2016-和2019中进行了测试。重要的是要了解，此新工具仅作为对不熟悉此功能的客户的临时措施。修补程序/更新过程，或者尚未应用本地Exchange安全更新的人员。

　　下载并运行EOMT

　　Microsoft的Microsoft Exchange本地缓解工具(EOMT)作为PowerShell模块可以从Microsoft的Github页上作为PowerShell模块免费下载。Microsoft建议运行此脚本，而不是同时提供较旧的PoweShell脚本ExchangeMitigations.ps1。Exchange本地缓解工具自动下载所有依赖项并运行Microsoft安全扫描程序。EOMT.ps1是完全自动化的，并使用已知的，以前记录的修复方法。该脚本执行三个操作：

　　Microsoft Exchange本地缓解工具(EOMT)，来源：Microsoft

　　• 通过URL重写配置，采取措施应对CVE-2021-26855的当前已知攻击。

　　• 使用Microsoft安全扫描程序扫描Exchange Server，以检测感染。

　　• 尝试修复Microsoft安全扫描程序检测到的危害。

　　对于具有Internet访问权限的Exchange部署以及希望或需要一种快速方法来自动修复漏洞并可能隔离感染的客户，这是一种更好的方法-不能让专家在短时间内扫描安装。开发人员尚未从这些缓解方法中观察到对Exchange Server功能的任何影响，也未对这些缓解方法进行任何直接更改以禁用Exchange功能。

　　运行EOMT的前提条件

　　需要Exchange服务器的外部Internet连接，因为这是下载Microsoft安全扫描程序和IIS URL重写模块所必需的。PowerShell脚本必须以管理员身份运行。

　　系统要求

　　• PowerShell 3或更高版本

　　• IIS 7.5及更高版本

　　• Exchange 2013、2016或2019

　　• Windows Server 2008 R2，Server 2012，Server 2012 R2，Server 2016，Server 2019

　　以评论EOMT

　　在这一点上，我个人高度分歧。当然，最好有一个“一键式”解决方案来扫描Exchange服务器，删除发现的任何感染，然后也加强安装。但是，Microsoft写道，这实际上是第一枪，并且不能替代修补程序。然后，负责的各方必须检查Exchange Server的更新和安全性。还有一些原则性问题。

　　• 问题1：此解决方案太迟了，可以假设通过端口443在Internet上可访问的Exchange服务器已经受到威胁。EOMT可能会发现并消除Exchange Server和基础Windows Server中的恶意功能。但是然后我们遇到了问题2。

　　• 问题2：如果Exchange Server被感染，则不清楚系统中还有哪些被篡改，攻击者是否可以访问和修改基础Active Directory结构。

　　• 问题3：可能运行EOMT会使取证分析复杂化，以找出可能已查看和检索到的信息。

　　• 问题4：该工具和防御措施不能替代修补程序，不幸的是，有些用户将不请专业人员来检查Exchange Server安装。这使实例保持打开状态，可以在下次攻击时被击落。

　　特别是对于问题4，必须配备专家来对Exchange Server进行后续检查。在博客文章ProxyLogon hack：受影响的Exchange系统的管理员存储库中，我总结了可用的相关信息。

　　背景：Exchange大规模入侵

　　这是Microsoft Exchange服务器中的四个关键漏洞，这些漏洞直到2021年3月2/3日才通过计划外的安全更新而被关闭(请参阅Exchange Server 0-day漏洞被积极利用)。问题是，自2021年1月以来，对Exchange服务器的攻击可通过端口443通过Internet进行访问。然后，自2月底到2021年3月初，攻击者对Exchange服务器进行了大规模扫描组称为called。可以假定所有未修补的(以及许多修补的)Exchange Server本地安装均受到威胁。我已经在下面链接的几篇博客文章中介绍了此主题。