{"id":3894,"date":"2021-03-22T08:40:06","date_gmt":"2021-03-22T07:40:06","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=3894"},"modified":"2024-05-15T17:14:14","modified_gmt":"2024-05-15T15:14:14","slug":"proxylogon-mitigation-tool-mirai-zagubione-pliki-ms-teams-copperstealer","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/proxylogon-mitigation-tool-mirai-zagubione-pliki-ms-teams-copperstealer\/","title":{"rendered":"ProxyLogon Mitigation Tool \/ Mirai \/ Zagubione pliki MS Teams \/ CopperStealer"},"content":{"rendered":"\n

Wy\u015bcig z czasem \u2013 to najlepiej podsumowuje sytuacj\u0119 wok\u00f3\u0142 ProxyLogon. Najpierw Microsoft wyda\u0142 poprawki awaryjne dla podatnych system\u00f3w. Nieca\u0142y tydzie\u0144 p\u00f3\u017aniej badacze zauwa\u017cyli pierwszy ransomware aktywnie wykorzystuj\u0105cy w\u0142a\u015bnie te luki<\/a>. Teraz u\u017cytkownicy otrzymali narz\u0119dzie – ProxyLogon Mitigation Tool – dzi\u0119ki kt\u00f3remu mog\u0105 sprawdzi\u0107, czy ich systemy zosta\u0142y ju\u017c zaatakowane. Narz\u0119dzie ogranicza ryzyko aktywnego zastosowania exploit\u00f3w. Nie jest to w \u017cadnym razie alternatywa dla aktualizacji. Dobra wiadomo\u015b\u0107 jest taka, \u017ce dziesi\u0105tki tysi\u0119cy serwer\u00f3w MS Exchange zosta\u0142o ju\u017c za\u0142atanych. Eksperci nigdy wcze\u015bniej nie widzieli tak wysokich wska\u017anik\u00f3w wgrywania poprawek. Mimo to na atak jest nadal podatnych oko\u0142o 82 tys. urz\u0105dze\u0144. St\u0105d decyzja Microsoft o wypuszczenia nowego narz\u0119dzia. Chcesz dowiedzie\u0107 si\u0119 wi\u0119cej? Sprawd\u017a reszt\u0119 artyku\u0142u.<\/p>\n\n\n\n\n\n\n\n<\/a>\n\n\n

Teraz z pomoc\u0105 jednego klikni\u0119cia sprawdzisz, czy podatno\u015bci ProxyLogon s\u0105 ju\u017c tak\u017ce Twoim problemem<\/strong><\/h2>\n\n\n

Microsoft wyda\u0142 w\u0142a\u015bnie nowe narz\u0119dzie – Exchange On-premises Mitigation Tool (EOMT) kt\u00f3re pozwala ma\u0142ym firmom zweryfikowa\u0107, czy ich serwerom nie zagra\u017ca \u201epaczka\u201d podatno\u015bci ProxyLogon.<\/strong> Skala problemu jest jednak du\u017ca. Statystyki pokazuj\u0105, \u017ce nadal ponad 82 tysi\u0105ce serwer\u00f3w nie zosta\u0142o za\u0142atanych i tym samym s\u0105 one podatne na atak \u2013 st\u0105d nowe rozwi\u0105zanie.<\/p>\n\n\n\n

ProxyLogon Mitigation Tool powsta\u0142o z my\u015bl\u0105 o klientach, kt\u00f3rzy nie zatrudniaj\u0105 pracownik\u00f3w IT \u2013 administrator\u00f3w, czy te\u017c specjalist\u00f3w od cyberbezpiecze\u0144stwa. Narz\u0119dzie znajduje zastosowanie w przypadku Microsoft Exchange Server 2013, 2016 i 2019.<\/p>\n\n\n\n

Nale\u017cy zauwa\u017cy\u0107, \u017ce narz\u0119dzie nie jest w \u017cadnym razie alternatyw\u0105 dla aktualizacji. Pozwala jednak ono ograniczy\u0107 ryzyko wykorzystania luk, dop\u00f3ki \u0142aty nie zostan\u0105 zastosowane\u2026 Przy czym powinno si\u0119 to wydarzy\u0107 tak szybko, jak to tylko mo\u017cliwe.<\/p>\n\n\n

ProxyLogon Mitigation Tool szczeg\u00f3\u0142y<\/h5>\n\n\n

Skrypt EOMT.ps1 mo\u017cna pobra\u0107 z repozytorium Microsoft na GitHub. Po jego uruchomieniu, program sprawdzi nast\u0119puj\u0105ce rzeczy:<\/p>\n\n\n\n

Niweluje cz\u0119\u015bciowo zagro\u017cenie wynikaj\u0105ce z podatno\u015bci CVE-2021-26855 w Server-Side Request Forgery (SSRF), po przez instalacj\u0119 modu\u0142u IIS URL Rewrite oraz ustanawiaj\u0105c regu\u0142\u0119, kt\u00f3ra przerywa wszelkie po\u0142\u0105czenia zawieraj\u0105ce \u201eX-AnonResource-Backend\u201d i \u201eX-BEResource\u201d w nag\u0142\u00f3wku plik\u00f3w cookie.<\/p>\n\n\n\n

Pobiera i uruchamia Microsoft Safety Scanner, kt\u00f3ry nast\u0119pnie usuwa znane pow\u0142oki internetowe i inne z\u0142o\u015bliwe skrypty zainstalowane za po\u015brednictwem luk ProxyLogon. Skrypt usuwa wszelkie wykryte z\u0142o\u015bliwe pliki.<\/p>\n\n\n\n

Ponadto administratorzy powinni r\u00f3wnie\u017c zweryfikowa\u0107 wska\u017aniki naruszenia bezpiecze\u0144stwa (IOC) w logach Exchange HttpProxy, plikach dziennika Exchange oraz dziennikach zdarze\u0144 aplikacji Windows.<\/p>\n\n\n\n

I najwa\u017cniejsze \u2013 jak najszybciej zastosowa\u0107 aktualizacj\u0119 zabezpiecze\u0144 wydan\u0105 przez Microsoft.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o: 1 <\/a>| 2<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n