Microsoft je objavio one-click Exchange On-premises Mitigation Tool (EOMT), alat koji može da vam pomogne da ublažite nedavno otkrivene ProxyLogon ranjivosti.

Početkom meseca, Microsoft je obelodanio da postoje 4 zero-day ranjivosti koje omogućavaju napad na Microsoft Exchange i da ih napadači aktivno koriste. Ove ranjivosti, sada prihvaćene pod imenom ProxyLogon, koriste sa za isporuku web sellova, cryptominera i ransomwara.

Juče je Microsoft objavio EOMT PowerShell skriptu koja treba da pomogne korisnicima (pre svega malim preduzećima koja nemaju zaposlene koji se bave IT bezbednošću) da bolje zaštite Microsoft Exchange servere.

EOMT bi trebalo da bude rešenje za korisnike koji koriste aktuelne verzije on-premise Exchange Servera, kao i za korisnike koji koriste starije verzije koje proizvođač više ne podržava.

Microsoft preporučuje svim korisnicima koji još nisu primenili bezbednosno ažuriranje za on-premise Exchange da preuzmu ovaj alat i pokrenu ga odmah na Exchange serveru. EOMT će:

• Sprečiti sve trenutno poznate napade koji koriste CVE-2021-26855 pomoću URL Rewrite konfiguracije.
• Skenirati Exchanage server pomoću Microsoft Safety Scannera
• Pokušaće da poništi sve promene koje je napravio napadač.

Exchange On-premises Mitigation Tool deluje na napade koji su do sad otkriveni, ali ne garantuje zaštitu od budućih tehnika napada. Ovaj alat treba koristiti samo kao privremeno rešenje dok Exchange serveri ne budu potpuno ažurirani.

DearCry ransomware napada Microsoft Exchange pomoću ProxyLogon ranjivosti

Od 9. marta primećeno je da napadači instaliraju novi ransomware pod nazivom DearCry, nakon što hakuju Exchange Servere koristeći ProxyLogon ranjivosti.

Kada se pokrene DearCry ransomware stvara Windows servis pod imenom „msupdate“ koji počinje da kriptuje. Ovaj Windows servis se uklanja nakon što se proces enkripcije završi.

Ransomware kriptuje fajlove na računaru koji imaju sledeće ekstenzije: .TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

Kada ih kriptuje, fajlovima dodaje ekstenziju .CRYPT .

Kada završi sa kriptovanjem računara, ransomware ostavlja poruku pod nazivom 'readme.txt' na Windows desktopu.

Jednoj od žrtava tražena je otkupnina u iznosu od 16.000 USD.

Za sad nisu otkrivene slabe tačke ransomware, tako da nema nade da će žrtve otključati fajlove besplatno.

Ažurirajte Exchange Server što pre!

Iako je stopa ažuriranja Exchange Servera nakon objavljivanja zakrpe izuzetno visoka, i dalje je više desetina hiljada servera neažurirano, a time i ranjivo. Prema izveštaju Shadow Servera u Srbiji trenutno ima 96 ranjivih Exchange Servera.