EOMT pour sécuriser Microsoft Exchange

Microsoft a sorti un outil simple pour aider les PME à combler les vulnérabilités ProxyLogon activement utilisées pour attaquer les messageries Exchange.

EOMT (Exchange On-premises Mitigation Tool) se veut une solution en un clic pour remédier aux 4 vulnérabilités Zero-day utilisées dans les attaques récentes contre des serveurs Exchange. Ces attaques prennent différentes formes comme des shell Web, des cryptomineurs, ou plus récemment une attaque de ransomware du nom de DearCry. Le logiciel est un script Powershell qui simplifie les opérations pour combler les différentes vulnérabilités. il peut être téléchargé ici.

Le script vérifie si le serveur est vulnérable. Il corrige la vulnérabilité CVE-2021-26855 Server-Side Request Forgery (SSRF) en installant un module de réécriture d'URL et une expression régulière qui empêche toutes connexions comportant les en-têtes de cookies "X-AnonResource-Backend" et "X-BEResource". Il déploie Microsoft Safety Scanner et supprime les programmes malicieux qui auraient pu être mis en place en utilisant ces vulnérabilités. A la suite de ces opérations, un fichier logs est à disposition fournissant des informations sur les opérations effectuées par le logiciel.

La chaîne d'exploitation des failles sur Exchange analysée par le US-CERT.