一键式Microsoft Exchange本地缓解工具 - 2021年3月
我们一直通过客户支持团队、第三方托管商和合作伙伴网络积极与客户合作,帮助他们保护环境并应对最近Exchange Server本地攻击带来的相关威胁。基于这些合作,我们意识到需要一个简单易用的自动化解决方案,以满足使用当前和已停止支持的本地Exchange Server版本客户的需求。
微软发布了一款新的一键式缓解工具——Microsoft Exchange本地缓解工具,以帮助那些没有专职安全或IT团队的客户应用这些安全更新。我们已在Exchange Server 2013、2016和2019部署中测试了此工具。这款新工具旨在为不熟悉补丁/更新过程或尚未应用本地Exchange安全更新的客户提供临时缓解措施。
通过下载并运行此工具(包含最新的Microsoft Safety Scanner),客户将在部署的任何Exchange服务器上自动缓解CVE-2021-26855。此工具不能替代Exchange安全更新,但是在打补丁之前缓解互联网连接的本地Exchange Server最高风险的最快、最简单方法。
我们建议所有尚未应用本地Exchange安全更新的客户:
- 下载此工具。
- 立即在Exchange服务器上运行。
- 然后,按照此处的更详细指南操作,以确保本地Exchange受到保护。
如果您已经在使用Microsoft Safety Scanner,它仍然有效,我们建议继续运行,因为它可用于帮助进行额外的缓解。
工具运行机制
运行后,Run EOMT.ps1工具将执行三个操作:
- 使用URL重写配置缓解当前已知的CVE-2021-26855攻击。
- 使用Microsoft Safety Scanner扫描Exchange Server。
- 尝试逆向由已识别威胁所做的任何更改。
运行前须知
- Exchange本地缓解工具对我们目前看到的攻击有效,但不能保证缓解所有可能的未来攻击技术。此工具仅应用作临时缓解措施,直到您的Exchange服务器能够按照我们之前的指南完全更新。
- 我们推荐此脚本而非之前的ExchangeMitigations.ps1脚本,因为它基于最新威胁情报进行了调整。如果您已开始使用其他脚本,可以切换到此脚本。
- 这是针对具有互联网访问的Exchange部署以及希望尝试自动修复的客户的推荐方法。
- 到目前为止,我们尚未观察到部署这些缓解方法对Exchange Server功能有任何影响。
有关更多技术信息、示例和指南,请查看GitHub文档。
微软致力于帮助客户,并将继续提供可在https://aka.ms/exchangevulns找到的指南和更新。
免责声明: 微软对本指南中的信息不作任何明示、暗示或法定的担保。Exchange本地缓解工具通过MIT许可证提供,如提供该工具的GitHub存储库中所示。
相关CVE
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
- 部分缓解措施