Microsoft publie un outil tout en un d’atténuation des risques pour les failles Exchange

Les quatre failles Exchange ont fait des milliers victimes, et les pirates s’en sont donnés à cœur joie en les exploitant copieusement. Souvent appelées collectivement ProxyLogon, ces failles ont permis à de nombreux web shells, cryptominers et ransomwares de faire des ravages.

Microsoft publie donc un Exchange On-premises Mitigation Tool (EOMT), qui se présente comme un script PowerShell qu’il suffit de lancer pour exécuter plusieurs opérations. L’éditeur explique qu’il s’agit du résultat de discussions avec les entreprises, qui ont exprimé le besoin d’une solution tout en un quand les ressources ne permettent pas d’avoir un département informatique.

L’EOMT est à exécuter sur le serveur Exchange aussi rapidement que possible si aucune action de sécurisation n’a été faite au-delà de la seule installation des correctifs. Dans le cas où ces dernières n’auraient pas été faites, l’outil est même à exécuter avant.

Le script effectue les actions suivantes :

• Vérifie si le serveur est vulnérable aux failles ProxyLogon
• Atténue la faille CVE-2021-26855 Server-Side Request Forgery (SSRF) en installant le module IIS URL Rewrite et une règle basée sur une expression régulière pour annuler toute connexion contenant les en-têtes de cookies X-AnonResource-Backend et X-BEResource
• Télécharge et exécute le Microsoft Safety Scanner pour supprimer les scripts malveillants qui exploitent ces failles, puis supprime les malwares connus
• Tente d’annuler toute modification faite par les menaces connues

Il s’agit donc de la solution recommandée par Microsoft. Elle remplace les précédentes en se basant sur les derniers renseignements de sécurité.