Ga naar inhoud

Microsoft publiceert scripts voor detectie van malware op Exchange-servers


Aanbevolen berichten

Microsoft heeft verschillende scripts gepubliceerd en de Microsoft Safety Scanner bijgewerkt voor het controleren van Exchange-servers op eventuele aanvallen. Verschillende kwetsbaarheden in Exchange worden volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security wereldwijd op grote schaal aangevallen.

Via de beveiligingslekken kan een aanvaller op afstand toegang tot Exchange-servers krijgen en aanvullende malware installeren zoals een webshell. Microsoft kwam vorige week met beveiligingsupdates voor Exchange Server 2013, 2016 en 2019 om de in totaal zerodaylekken te verhelpen. De kwetsbaarheden werden al voor het uitkomen van de patches aangevallen.

Om organisaties te helpen bij de controle op eventuele gecompromitteerde Exchange-servers heeft Microsoft verschillende tooling beschikbaar gesteld. Zo is er een script dat Exchange-servers op de aanwezigheid van webshells controleert. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Vaak worden webshells voor verdere aanvallen ingezet.

Daarnaast is er een PowerShell-script gepubliceerd genaamd Test-ProxyLogon.ps1 waarmee beheerders kunnen kijken of hun Exchange-server via één van de Exchange-kwetsbaarheden (CVE-2021-26855) is gecompromitteerd. Het CISA adviseert alle organisaties die van Exchange-servers gebruikmaken om dit script uit te voeren en zo hun servers op de aanwezigheid van aanvallers te controleren.

Vervolgens heeft Microsoft ook een update uitgebracht voor de Microsoft Safety Scanner (MSERT) en Microsoft Defender voor het detecteren en verwijderen van malware die via de Exchange-kwetsbaarheden is geïnstalleerd. De Safety Scanner is een standalone tool waarmee organisaties webshells kunnen verwijderen die bij de recente aanvallen zijn gebruikt.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.