Microsoft publiceert scripts voor detectie van malware op Exchange-servers

[Captain Kirk]

Microsoft heeft verschillende scripts gepubliceerd en de Microsoft Safety Scanner bijgewerkt voor het controleren van Exchange-servers op eventuele aanvallen. Verschillende kwetsbaarheden in Exchange worden volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security wereldwijd op grote schaal aangevallen.

Via de beveiligingslekken kan een aanvaller op afstand toegang tot Exchange-servers krijgen en aanvullende malware installeren zoals een webshell. Microsoft kwam vorige week met beveiligingsupdates voor Exchange Server 2013, 2016 en 2019 om de in totaal zerodaylekken te verhelpen. De kwetsbaarheden werden al voor het uitkomen van de patches aangevallen.

Om organisaties te helpen bij de controle op eventuele gecompromitteerde Exchange-servers heeft Microsoft verschillende tooling beschikbaar gesteld. Zo is er een script dat Exchange-servers op de aanwezigheid van webshells controleert. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Vaak worden webshells voor verdere aanvallen ingezet.

Daarnaast is er een PowerShell-script gepubliceerd genaamd Test-ProxyLogon.ps1 waarmee beheerders kunnen kijken of hun Exchange-server via één van de Exchange-kwetsbaarheden (CVE-2021-26855) is gecompromitteerd. Het CISA adviseert alle organisaties die van Exchange-servers gebruikmaken om dit script uit te voeren en zo hun servers op de aanwezigheid van aanvallers te controleren.

Vervolgens heeft Microsoft ook een update uitgebracht voor de Microsoft Safety Scanner (MSERT) en Microsoft Defender voor het detecteren en verwijderen van malware die via de Exchange-kwetsbaarheden is geïnstalleerd. De Safety Scanner is een standalone tool waarmee organisaties webshells kunnen verwijderen die bij de recente aanvallen zijn gebruikt.

 

bron: https://www.security.nl