Инструкция по использованию инструмента для устранения уязвимости в Exchange — скачать скрипт, запустить, просканировать с помощью Safety Scanner, обновить сервер.

15 марта 2021 года Microsoft выпустила специальный инструмент Exchange On-premises Mitigation Tool (EOMT) для устранения критической уязвимости в серверах Exchange в один клик для «клиентов, которые незнакомы с процессом патчинга и обновления».

Фактически EOMT — это простое, удобное и автоматизированное решение для небольших компаний, использующих как текущие, но не полностью обновленные, так и неподдерживаемые версии локальных почтовых серверов Exchange Server. Инструмент специально был создан для тех клиентов, у которых нет собственной службы информационной безопасности или системных администраторов, которые могут установить и применить рекомендованные ранее Microsoft обновления безопасности для Exchange Server против обнаруженной недавно цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).

Microsoft пояснила, что протестировала скрипт EOMT.ps1 в развертываниях Exchange Server 2013, 2016 и 2019 и рекомендует его использовать немедленно на локальный почтовых серверах для защиты от продолжающейся сетевой атаки на сотни тысяч серверов Exchange по всему миру.

Microsoft уточнила, что EOMT является временным решением. Компания не гарантирует, что этот скрипт предотвратит подобные атаки в будущем, потому советует клиентам обновить свои почтовые сервера до последних версий по возможности как можно скорее.

2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных.

6 марта 2021 года Microsoft обновила утилиту Safety Scanner. Последняя версия автономного инструмента безопасности Microsoft Support Emergency Response Tool (MSERT) может обнаруживать зловредные веб-оболочки (средства удаленного доступа, Web Shell), установленные злоумышленниками внутри почтовых серверов компаний в рамках продолжающейся атаки на непропатченные Exchange Server 2013/2016/2019) по всему миру.

7 марта Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon.

8 марта Microsoft выпустила обновления безопасности для Exchange Server 2016 и 2019 с неподдерживаемыми (устаревшими) версиями накопительных обновлений (Cumulative Update, CU), которые уязвимы для атаки ProxyLogon.