Nueva herramienta de Microsoft comprueba los servidores de Exchange en busca de hacks de ProxyLogon

Nueva herramienta de Microsoft comprueba los servidores de Exchange en busca de hacks de ProxyLogon

Desde el 2 de marzo Un script de PowerShell está disponible en el repositorio de GitHub de Microsoft ‘CSS-Exchange’ (operado por los ‘Ingenieros de soporte para Microsoft Exchange Server’) que examina uno o más servidores de Exchange en busca de rastros dejados por un ataque exitoso.

Microsoft lanzó actualizaciones de seguridad de emergencia fuera de banda para corregir cuatro vulnerabilidades de día cero que se utilizan activamente en los ataques contra Microsoft Exchange. Estas vulnerabilidades se detectan como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. Este ataque se denomina “ProxyLogon”. Permite la ejecución de código de forma remota y requiere Outlook Web Access (OWA) activado.

Microsoft lanzó un script de PowerShell en el repositorio de GitHub de Microsoft Exchange Rep llamado Prueba-ProxyLogon.ps1 este script resume las pruebas manuales y hace que sea mucho más fácil para los administradores verificar sus servidores Exchange. El script busca registros de Exchange, registros de Exchange HttpProxy y registros de eventos de aplicaciones de Windows.

Si solo desea verificar el servidor local y guardar los registros, debe ingresar el siguiente comando:

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Si solo desea verificar el servidor local y guardar los registros, debe ingresar el siguiente comando:

.\Test-ProxyLogon.ps1

Si opera varios servidores Exchange, puede examinar todos los sistemas al mismo tiempo (y guardar el resultado):

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) recomienda encarecidamente que todas las organizaciones utilicen este script para comprobar si sus servidores se han visto comprometidos y, si es posible, los administradores de Exchange deben cerrar las vulnerabilidades de inmediato instalando las últimas actualizaciones.

Leave a Reply