Le vulnerabilità chiamate ProxyLogon recentemente risolte in Microsoft Exchange Server sono state utilizzate e vengono ancor oggi utilizzate per aggredire migliaia di aziende in tutto il mondo con l’obiettivo di sottrarre dati personali e informazioni riservate. Le stesse lacune di sicurezza possono essere sfruttate per eseguire codice arbitrario sui sistemi e sulle reti di qualunque impresa. Tant’è che nei giorni scorsi ha cominciato a diffondersi un ransomware che fa leva proprio su ProxyLogon: Ransomware DearCry: sfrutta le vulnerabilità dei sistemi Microsoft Exchange Server.
Microsoft ha appena rilasciato lo script PowerShell Exchange On-premises Mitigation Tool (EOMT) che aiuta le piccole e medie imprese sprovviste di personale specializzato per gestire le problematiche legate alla sicurezza a mettersi al riparo dai problemi introdotti con la scoperta delle vulnerabilità ProxyLogon.
Lo script EOMT, che può essere scaricato gratuitamente da questa pagina su GitHub, provvede a controllare se il sistema in uso sia vulnerabile, aggiunge una regola a livello di web server che mediante l’uso di una regular expression provvede a respingere tutte le richieste di connessione contenenti header specifici usati dagli aggressori e, infine, scarica ed esegue Microsoft Safety Scanner web shell e altri componenti dannosi eventualmente già caricati sulla macchina.
Al termine della scansione del sistema è possibile analizzare il file C:\EOMTSummary.txt
per verificare le attività che sono state svolte dall’utilità.
I tecnici Microsoft hanno inoltre messo a disposizione degli utenti il tool Test-ProxyLogon.
Si tratta di un altro script PowerShell che va automaticamente alla ricerca di eventuali segnali di aggressione nei log di Exchange, Exchange HttpProxy oltre che nel registro degli eventi di Windows.
Il consiglio migliore rimane sempre quello di installare le patch ufficiali rilasciate da Microsoft prima sotto forma di aggiornamenti out-of-band e poi come parte integrante del “patch day” di marzo: Patch day Microsoft di marzo 2021: quali sono le vulnerabilità più critiche.