Microsoft发布一键式exchange内部地区的缓解工具，以帮助企业，他们没有专业知识，轻松解决最近披露的漏洞

Microsoft发布了一键Exchange On-Premises缓解工具（EOMT）工具，以允许小型企业所有者轻松缓解最近披露的Proxylogon漏洞。

本月，微软透露，在对Microsoft Exchange的攻击中正在积极使用四个零天漏洞。这些漏洞是统称为Proxylogon，并且被威胁演员用于删除Web Shell，Cryptomers，更新，探索服务器上的Dearcry Ransomware。

今天，微软发布了eomt一键PowerShell脚本，以便没有专用或安全团队的小型企业所有者可以进一步帮助保护其Microsoft Exchange服务器。

＆＃34;我们已经通过客户支持团队，第三方托管和合作伙伴网络积极与客户合作，帮助他们保护他们的环境并响应来自最近的Exchange Server内部攻击的相关威胁。＆＃34;

＆＃34;根据这些录取，我们意识到，需要一种简单，易于使用的自动化解决方案，这些解决方案将使用当前和支持的内部资源交换服务器，＆ ＃34;微软今天在博客帖子中解释。

＆＃39; eomt.ps1＆＃39;可以从Microsoft＆＃39; s github存储库下载脚本，并且在执行时，将自动执行以下任务：

通过安装IIS URL重写模块和中止包含＆＃39; X-Anonresource - 后端＆＃39的任何连接，减轻CVE-2021-26855服务器端请求伪造（SSRF）漏洞。和＃39; x-beresource＆＃39;饼干标题。

下载并运行Microsoft Safety Scanner以删除通过这些漏洞安装的已知的Web Shell和其他恶意脚本。然后，脚本将删除找到的任何恶意文件。

Microsoft建议管理员和企业所有者根据以下条件运行Exchange内部处于缓解工具（EOMT）工具：

尽快运行EOMT.PS1。这既可以尝试修复，并减轻您的服务器以防止进一步的攻击。完成后，请按照修补指南在http://aka.ms/exchangevulns上更新您的服务器

如果您使用过Microsoft的任何/所有缓解指导（交易交长，博客文章等）。

尽快运行EOMT.PS1。这两者都将尝试修复以及减轻您的服务器以防止进一步的攻击。完成后，请按照修补指南在http://aka.ms/exchangevulns上更新您的服务器

如果您已经修补了系统并受到保护，但没有调查任何对手活动，妥协指标等。

尽快运行EOMT.PS1。这将尝试修复在修补之前可能没有完整修复的现有妥协。

如果您已经修补并调查了您的系统，以获取任何妥协指标等。 运行EOMT脚本后，用户可以在C：\ EOMTSUMMARY.txt上找到日志文件，它提供有关该工具执行的任务的信息。 除了运行EOMT之外，建议管理员运行Test-Proxylogon.ps1脚本，还要检查Exchange Httproxy日志，Exchange日志文件和Windows应用程序事件日志中的妥协（IOC）指示符。