A ProxyLogon sebezhetőségeket kihasználó támadások száma meredeken emelkedik, ezért a Microsoft úgy döntött, hogy egy egyszerűen használható megoldással segíti a védekezést. A Microsoft Exchange Server nevű emailszolgáltatás feltörésével kínai hackerek 30 ezer amerikai cég, szervezet és önkormányzat emailjeihez férhettek hozzá, de azóta más kiberbűnözők új célpontokat is találtak maguknak a sérülékenységet kihasználva.

A Nemzeti Kibervédelmi Intézet ezért felhívja a figyelmet a szoftvercég által javasolt javítási protokoll alkalmazására: az Exchange On-premises Mitigation Tool (EOMT) névre keresztelt szkript (EOMT.ps1) futtatáskor több dolgot is tesz: ellenőrzi, hogy a telepített Exchange kiszolgáló sérülékeny-e, ha igen, hatástalanítja a CVE-2021-26855 számú sérülékenység lehetséges kihasználását, azáltal, hogy telepíti az IIS URL Rewrite modult, valamint egy reguláris kifejezés-alapú szabályt, amely egészen egyszerűen megszakít minden olyan kapcsolatot, amiben X-AnonResource-Backend vagy X-BEResource süti (cookie) fejlécek szerepelnek.

Kapcsolódó

Utána pedig a modul letölti, és futtatja a Microsoft Safety Scanner legfrissebb verzióját, annak érdekében, hogy eltávolítsa az ismert webshelleket és más kártevőket, végül készít egy naplóbejegyzést (C:EOMTSummary.txt) az elvégzett lépésekről. A Microsoft szerint a szkript futtatása csak abban az esetben nem javasolt, amennyiben a biztonsági frissítések telepítése mellett a nyilvánosságra hozott indikátorok alapján alapos rendszervizsgálat történt.