一键式Microsoft Exchange本地缓解工具 - 2021年3月
我们一直通过客户支持团队、第三方托管服务商和合作伙伴网络积极协助客户保护其环境,并应对近期Exchange Server本地攻击带来的相关威胁。基于这些合作,我们意识到需要一个简单易用的自动化解决方案,以满足使用当前版本和已停止支持的本地Exchange Server版本客户的需求。
微软发布了一款新的一键式缓解工具——Microsoft Exchange本地缓解工具,旨在帮助那些没有专职安全或IT团队来应用这些安全更新的客户。我们已在Exchange Server 2013、2016和2019部署中测试了此工具。这款新工具设计为临时缓解措施,适用于不熟悉补丁/更新过程或尚未应用本地Exchange安全更新的客户。
通过下载并运行此工具(包含最新的Microsoft Safety Scanner),客户将在部署该工具的任意Exchange服务器上自动缓解CVE-2021-26855。此工具并非Exchange安全更新的替代品,而是在打补丁之前缓解互联网连接的本地Exchange服务器最高风险的最快、最简单方法。
我们建议所有尚未应用本地Exchange安全更新的客户:
- 下载此工具。
- 立即在Exchange服务器上运行。
- 然后,遵循此处更详细的指南确保本地Exchange受到保护。
如果您已在使用的Microsoft Safety Scanner,它仍然有效,我们建议继续运行,因为它可用于协助其他缓解措施。
运行后,Run EOMT.ps1工具将执行三个操作:
- 使用URL重写配置缓解当前已知的CVE-2021-26855攻击。
- 使用Microsoft Safety Scanner扫描Exchange服务器。
- 尝试逆转已识别威胁所做的任何更改。
在运行工具之前,您应了解:
- Exchange本地缓解工具对我们目前看到的攻击有效,但不能保证缓解所有未来可能的攻击技术。此工具仅应用作临时缓解措施,直到您的Exchange服务器能够按照我们之前的指南完全更新。
- 我们推荐此脚本而非之前的ExchangeMitigations.ps1脚本,因为它基于最新威胁情报进行了调整。如果您已开始使用其他脚本,切换到这个是没问题的。
- 这是针对具有互联网访问的Exchange部署以及希望尝试自动修复的客户的推荐方法。 截至目前,我们尚未观察到部署这些缓解方法对Exchange Server功能产生任何影响。
有关更多技术信息、示例和指南,请查看GitHub文档。 微软致力于帮助客户,并将继续提供可在https://aka.ms/exchangevulns找到的指南和更新。
MICROSOFT对此指南中的信息不作任何明示、暗示或法定的担保。Exchange本地缓解工具通过MIT许可证提供,如提供该工具的GitHub存储库中所示。