針對近期發生的Exchange郵件服務器零日漏洞攻擊利用，微軟在發起深入調查的同時，也為客戶提供了可在本地一鍵部署的EOMT緩解工具。本月早些時候，該公司披露了正被攻擊者積極利用的Exchange零日漏洞（統稱為“代理登陸”/ ProxyLogon），受害者們可能遭遇Web Shell丟失、加密貨幣挖礦、以及DearCry勒索軟件攻擊等狀況。

（來自：微軟安全響應中心/博客）

好消息是，通過微軟今日發布的EOMT 一鍵式PowerShell 腳本，即便沒有專業安全團隊的小企業客戶，也都可以藉此來保護他們的Exchange 郵件服務器。

微軟寫道：我司一直在通過官方客戶支持團隊、第三方委託機構、以及合作夥伴網絡，與客戶開展積極的合作，以幫助他們保護服務器環境、和應對近期的Exchange Server 本地攻擊帶來的相關威脅。

在此基礎上，微軟還意識到了需要一種簡單、易於使用的自動化解決方案。它可以同時使用本地和現有的Exchange Server 支持版本，來滿足客戶的相關需求。

有需要的朋友，可到微軟官方的GitHub存儲庫下載EOMT.ps1腳本文件。運行後，它將自動執行以下任務：

● 檢查服務器是否容易受到ProxyLogon 漏洞的攻擊。

● 通過安裝IIS URL 重寫模塊和正則表達式規則，來阻止CVE-2021-26855 的服務器端請求偽造（SSRF）漏洞。

● 下載並運行微軟安全掃描程序，以刪除通過這些漏洞安裝的已知Web Shell 和其它惡意腳本。

最後，微軟建議企業主和IT 管理員參考以下條件來運行EOMT 本地緩解工具：

● 運行腳本後，用戶可在C:EOMTSummary.txt 路徑下找到一個日誌文件，其中提供了有關該工具任務執行的相關信息。

●其次，建議管理員在運行EOMT之外，繼續運行Test-ProxyLogon.ps1腳本，以檢查Exchange HttpProxy和Windows應用程序的事件日誌中的危害指標（IOC）。