Microsoft ha compartido herramienta para mitigar vulnerabilidades de servidores Exchange

16 Marzo 2021
Crítico

Microsoft luego de todo el revuelo ocasionado por la falla en su plataforma de correos, ha publicado una aplicación de software que aplicaría todas las mitigaciones necesarias para contrarrestar las vulnerabilidades de ProxyLogon con un solo clic a los servidores de Microsoft Exchange que, por diversas razones, no han podido realizar las actualizaciones pertinentes.

EOMT

La nueva herramienta llamada EOMT (Exchange On-premisas Mitigation Tool), se encuentra disponible para la descarga directa en la cuenta oficial de Microsoft en GitHub.

La aplicación que está escrita en PowerShell fue especialmente diseñada para ayudar a mitigar los riesgos asociados a las empresas que no poseen equipos de seguridad o TI dedicados a manejar la actualización de sus servidores Exchange locales.

El script EOMT también elimina los web shells

Una vez iniciado el script realizará siguientes acciones:

  • Instalará una configuración de reescritura de URL en el servidor, que es suficiente para mitigar CVE-2021-26855, el cual es el punto de entrada inicial en una serie de cuatro errores conocidos como ProxyLogon.
  • La herramienta también incluye una copia de la aplicación Microsoft Safety Scanner que escaneará el servidor Exchange en busca de shells web conocidos que se hayan visto implementados en ataques anteriores de ProxyLogon.
  • Una vez que se descubre un shell web, la aplicación Microsoft Safety Scanner eliminará la puerta trasera y cortará el acceso del atacante.

Notas de Microsoft

  • Microsoft dice que la herramienta se puede utilizar tanto para aplicar mitigaciones como para garantizar que las mitigaciones pasadas aplicadas a mano se hayan instalado correctamente.
  • Los usuarios que instalaron parches lanzados el 2 de marzo no necesitan ejecutar la herramienta, ya que los parches brindan una cobertura mucho mejor para los ataques de ProxyLogon.

 

Panorama

Si bien Microsoft ha implementado actualizaciones para abordar esta serie de cuatro fallas conocidas como ProxyLogon, se espera que muchos actores estatales y grupos criminales sigan moviéndose en búsqueda de sistemas sin parches. Esto se traduce en que, desde la divulgación inicial, se ha visto a grupos patrocinados por el estado abusando de las vulnerabilidades de ProxyLogon, sumándose grupos como los operadores de Lemon_Duck, una botnet de minería de criptomonedas y una banda de ransomware que busca difundir una pieza de malware rastreada como DearCry. 

Se recomienda lo siguiente:

  • Los servidores de Microsoft Exchange deben actualizarse lo antes posible.
    • "La herramienta de mitigación local de Exchange es eficaz contra los ataques que hemos visto hasta ahora, pero no garantiza que mitigue todas las posibles técnicas de ataque en el futuro", aseguró Microsoft, y señaló que los servidores de Exchange deberían actualizarse por completo lo antes posible.

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Parche #MicrosoftExchange #Exploit #Hafnium #DearCry #ProxyLogon #CVE-2021-26855 #CVE-2021-26857 #CVE-2021-26858 #CVE-2021-27065


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.