Microsoft发布工具可帮助您查看您的Exchange服务器是否已被Hafnium破坏

Windows 11 Pro ISO文件在哪下载最新版?如何下载原装纯净版Win11 ?点击进入   持续更新!

独立安装的Microsoft Exchange Server的一系列缺陷已使数十万个Exchange Server的安装受到中国黑客组织Hafnium的破许多小型企业,城镇,城市和地方政府已被感染,黑客留下了网络外壳以进行进一步的指挥和控制。
Microsoft Mrtk 2.5
Microsoft Mrtk 2.5
Microsoft发布了新的工具和教程,以帮助服务器管理员检测并缓解威胁。Microsoft已发布了免费的Exchange服务器威胁指示器工具的更新,该 工具可用于扫描Exchange服务器日志文件以确定它们是否受到威胁。

微软还为无法应用微软已于3月2日发布的带外更新的管理员发布了应急替代缓解教程。尽管即使服务器受到感染,但应用修补程序仍然是最有效的预防措施,这将是一项更大的工作。

“直到2月28日(在Microsoft发布补丁之前),Web外壳都一直在受害者系统上使用,直到今天,我们已经处理了数十种情况。”发现该漏洞的总裁Volexity总裁Steven Adair说。攻击 。“即使您在Microsoft发布补丁程序的同一天打了补丁,服务器上仍有一个Web Shell的可能性仍然很高。事实是,如果您正在运行Exchange,但尚未对此进行修补,则您的组织很有可能已经受到威胁。”

微软发言人在一份书面声明中说:“最好的保护是尽快在所有受影响的系统上应用更新。” “我们继续通过提供其他调查和缓解指导来帮助客户。受影响的客户应联系我们的支持团队,以获取更多帮助和资源。”

 

安全脚本

Test-ProxyLogon.ps1

该脚本以前称为Test-Hafnium,可自动执行Hafnium博客文章中找到的所有四个命令。它还具有进度条和一些性能调整,以使CVE-2021-26855测试运行得更快。

在此处下载最新版本:

下载Test-ProxyLogon.ps1

此脚本最典型的用法是使用Exchange命令行管理程序中的以下语法检查所有Exchange服务器并保存输出:

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

要仅检查本地服务器,只需运行脚本:

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

要显示结果而不保存结果,请从以上任一示例中删除-Outpath参数:

.\Test-ProxyLogon.ps1

BackendCookieMitigation.ps1

此缓解措施将过滤包含恶意X-AnonResource-Backend和格式不正确的X-BEResource cookie的https请求,这些请求被发现在野外的SSRF攻击中使用。这将有助于防御观察到的已知模式,而不是整个SSRF。有关更多信息,请参见脚本顶部的注释。

在此处下载最新版本:

下载BackendCookieMitigation.ps1

http-vuln-cve2021-26855.nse

该文件与nmap一起使用。它检测指定的URL是否容易受到Exchange Server SSRF漏洞(CVE-2021-26855)的攻击。有关使用情况的信息,请阅读文件顶部。

在此处下载最新版本:

下载http-vuln-cve2021-26855.nse

下载最新版Windows 11 Pro ISO文件:点击进入   持续更新原装纯净版Win11 

原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun41107.html

(0)
打赏 微信扫一扫不于多少! 微信扫一扫不于多少! 支付宝扫一扫礼轻情意重 支付宝扫一扫礼轻情意重
上一篇 2021年3月7日 上午12:28
下一篇 2021年3月8日 上午9:46

相关推荐