微软发布Exchange Server专用工具可以检测邮件服务器是否遭到感染
前文我们提到Microsoft Exchange Server 2013~2019 版存在安全漏洞 , 数以万计的政企机构遭到黑客的袭击。
目前已经修复此漏洞的政企机构仅有10% ,而剩下 90% 的政企机构到现在可能都还不知道出现如此重大的漏洞。
作为应对措施微软不仅发布紧急安全更新用来修复该漏洞,同时微软还开发专门的工具帮助客户检测是否被感染。
如果你所在的企业或机构正在使用Exchange Server本地服务器版 , 则应立即使用该工具进行检测确保环境安全。
该工具已开源供所有企业和政府机构使用:https://github.com/microsoft/CSS-Exchange/tree/main/Security
# 使用方法 # 微软推荐使用此命令进行检查 Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs # 如果只需要检查本地服务器请使用此命令 .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs # 如果需要显示结果但不保存结果请使用此命令 .\Test-ProxyLogon.ps1 -DisplayOnly # 与MSI配合缓解漏洞安装URL重写模块 PS C:\> BackendCookieMitigation.ps1 -FullPathToMSI "C:\temp\rewrite_amd64_en-US.msi" -WebSiteNames "Default Web Site" -Verbose # 在不安装MSI的情况下可使用 PS C:\> BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -Verbose # 如果要回滚删除规则请使用此命令,注意此操作不会删除IIS重定向模块 PS C:\> BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -RollbackMitigation -Verbose
早前美国网络公司太阳风遭到黑客攻击,其开发的网络管理软件太阳风软件被美国多家企业以及政府机构等使用。
黑客借助太阳风软件作为跳板成功渗透到多家美国联邦机构以及科技公司例如微软内部,而其规模之大难以想象。
万万没想到微软邮件系统发生的漏洞产生的影响会更大,目前受害者数量已远超太阳风供应链攻击中的政企数量。
更让人头疼的是很多政企机构似乎还不知道需要修复漏洞,统计数据显示目前仅有10%的政企机构及时修复漏洞。
而利用漏洞展开攻击的黑客数量也在不断地飙升,这意味着接下来可能还会有大量的政企机构会遭到黑客的渗透。
在这里蓝点网也提醒使用Microsoft Exchange Server 的政企机构赶紧安装更新,否则被黑可能只是一瞬间的事。