Los desarrolladores de Microsoft han lanzado una herramienta llamada EOMT (Herramienta de mitigación local de Exchange) diseñado para instalar actualizaciones en servidores Microsoft Exchange y corregir vulnerabilidades de ProxyLogon con un solo clic.
La utilidad ya está disponible para descargar en GitHub de la empresa.
A principios de marzo 2021, ingenieros de microsoft lanzó parches no programados por cuatro vulnerabilidades en el servidor de correo Exchange, que los investigadores denominaron Inicio de sesión proxy (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065).
Expertos de Palo Alto Networks y Microsoft estimar que todavía hay alrededor 80,000 Servidores Exchange vulnerables disponibles en la red que podrían verse comprometidos.
Actualmente, Los ataques a servidores vulnerables son llevados a cabo por aproximadamente 10 hackear grupos, implementando shells web, mineros y ransomware en los servidores.
En primer lugar, EOMT está destinado a empresas que no cuentan con sus propios especialistas en TI que puedan comprender el problema de ProxyLogon e instalar correctamente las actualizaciones necesarias..
El caso es que también puede haber problemas al instalar parches.. Por ejemplo, fue anteriormente reportado que las actualizaciones para Microsoft Exchange se pueden instalar sin muchos parches necesarios si UAC está habilitado. Como resultado, necesita instalar actualizaciones solo en nombre del administrador.
Microsoft ahora espera que cualquier persona de la empresa pueda manejar la descarga y actualización de EOMT simplemente haciendo clic en EOMT.ps1. El script instalará la configuración de reescritura de URL en el servidor., que será suficiente para arreglar el CVE-2021-26855 bicho, cuál es el punto de partida de la cadena de exploits, conocido colectivamente como ProxyLogon.
La herramienta también incluye una copia de Escáner de seguridad de Microsoft, que escaneará los servidores Exchange en busca de shells web conocidos que fueron vistos anteriormente atacando a ProxyLogon. Si necesario, Microsoft Safety Scanner eliminará la puerta trasera y bloqueará el acceso a los ciberdelincuentes.
Permítanme recordarles también que recientemente Un investigador publicó un exploit PoC para las vulnerabilidades de ProxyLogon en Microsoft Exchange, aunque después de un tiempo GitHub eliminó el exploit ProxyLogon y ha sido criticado.
