使用Microsoft提供的此一键缓解工具可防止Exchange攻击

微软周一发布了一款一键缓解软件，该软件应用了所有必要的应对措施，以保护易受攻击的环境，抵御当前广泛存在的ProxyLogon Exchange Server网络攻击。

基于PowerShell的脚本名为Exchange内部部署缓解工具（EOMT），用于使用CVE-2021-26855缓解当前已知的攻击，使用Microsoft Safety Scanner扫描Exchange服务器以查找任何已部署的web Shell，并尝试修复检测到的危害。

“对于不熟悉补丁/更新过程或尚未应用内部部署的Exchange安全更新的客户，此新工具是作为临时缓解措施而设计的，”微软说。

这一发展是在全球10多个高级持久性威胁参与者对未打补丁的Exchange服务器发起不分青红皂白的攻击之后出现的；大多数政府支持的网络间谍组织—；安装后门、投币机和勒索软件，概念证明（PoC）的发布进一步助长了黑客狂潮。

根据RiskIQ的遥测数据，截至3月12日，全球40万台本地Exchange服务器中有317269台已进行了修补，美国、德国、英国、法国和意大利是服务器易受攻击的国家中的领先者。

此外，美国网络安全和基础设施安全局（CISA）更新了其指南，详细说明了恶意行为者正在利用的多达七种中国斩波器网络外壳。

web shell仅占用4千字节，近十年来一直是网络攻击者的热门攻击后工具。

虽然正在评估入侵的广度，但据报道，微软也在调查它在1月初检测到的“有限且有针对性的”攻击如何迅速演变成广泛的大规模攻击活动，迫使它在到期前一周发布安全补丁。

《华尔街日报》周五报道称，调查人员关注的焦点是，该公司通过其微软主动保护计划（MAPP）与微软合作伙伴分享了有关漏洞的信息，该合作伙伴是否意外或故意泄露给其他团体。

还有人声称，在2月底的“第二波”攻击中使用的一些工具类似于微软在2月23日与反病毒公司和其他安全合作伙伴共享的概念验证攻击代码，这增加了威胁参与者可能已经掌握了微软与其安全合作伙伴分享的私人信息的可能性。

另一种理论是，威胁参与者独立发现了同一组漏洞，然后利用这些漏洞对目标网络进行秘密侦察并窃取邮箱，然后在黑客发现微软正在准备修补程序后加大攻击力度。

微软表示：“这是过去四个月来，民族国家行为者第二次参与网络攻击，可能会影响各种规模的企业和组织。”。“虽然这开始是一次民族国家攻击，但这些漏洞正被其他犯罪组织利用，包括新的勒索软件攻击，并可能引发其他恶意活动。”