Microsoft ha rilasciato a marzo 2021 delle patch urgenti per cercare di sistemare i gravi problemi di sicurezza che si sono presentati sui servers mail Exchange , peccato che i problemi fossero noti da gennaio e che ci sia stata una fuga di notizie che ha permesso a vari gruppi di hackers di infettare migliaia di sistemi Exchange nel mondo prima che fossero protetti dalle patch di sicurezza, ora si tratta di correre ai ripari cercando di togliere anche il malware che potrebbe essere stato già installato sui servers di posta.
Il problema riguarda tutti i servers Exchange che espongono la componente OWA (Outlook Web Access) su internet, in pratica la webmail (diciamo il 90% dei servers Exchange nel mondo ?), moltissime di queste macchine sono state colpite ed al loro interno sono stati installati vari tipi di software ostili (webshell, accessi remoti, mining di cryptovalute, ransomware, ecc…), l’applicazione delle sole patch di sicurezza rilasciate da Microsoft NON è sufficiente per essere sicuri che il server sia “pulito” e privo di malware.
Per fortuna Microsoft ha rilasciato un Mitigation Tool da far girare dopo aver installato le patch che si preoccupa di fare un controllo generale del server rimuovendo automaticamente eventuali tracce di codice ostile che siano rimaste sulla macchina, inoltre crea un file di log con tutte le operazioni che sono state eseguite.
Il tool si chiama EOMT ed in pratica è uno script powershell (EOMT.PS1) che può essere eseguito su tutte le versioni con supporto attivo di Exchange, quindi parliamo delle versioni 2013, 2016 e 2019 di Exchange che girano su Windows server dalla release 2008 R2 fino alla release server 2019, come ulteriore prerequisito sul server devono essere installati Powershell 3 e IIS dalla versione 7.5 in poi, il tool si può scaricare da questa pagina web di github :
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://github.com/microsoft/CSS-Exchange/releases/latest/download/EOMT.ps1
Basta eseguirlo ed attendere l’esito delle operazioni che verrà registrato nel file di log :
C:\EOMTSummary.txt
In pratica lo script esegue i seguenti step :
- verifica se il server è ancora vulnerabile ai problemi di sicurezza (nel caso non fossero state applicate tutte le patch rilasciate da Microsoft per esempio)
- modifica la configurazione di IIS in modo che respinga ulteriori attacchi conosciuti
- scarica ed esegue in automatico il programma Microsoft Safety Scanner che provvederà ad una scansione e pulizia di eventuali tracce di malware rimaste sul server Exchange
Il tool è abbastanza immediato, per maggiori informazioni sull’uso fate riferimento direttamente alla pagina di download dove sono spiegate tutte le opzioni di esecuzione dello script e vengono riportati alcuni esempi pratici :
https://github.com/microsoft/CSS-Exchange/tree/main/Security
Questo caso dei servers di posta elettronica Exchange colpiti da una miriade di vulnerabilità è stato veramente un brutto colpo per molti amministratori di sistema che si sono ritrovati con i propri servers di posta infettati da un giorno all’altro senza poter fare nulla di concreto, Microsoft sta aggiornando un documento online su tutta la vicenda (che è ancora in evoluzione….) , lo potete trovare a questi links :
On-Premises Exchange Server Vulnerabilities Resource Center
Nel caso fossero rilasciati ulteriori tools di mitigazione / risoluzione del problema od altre patch critiche il documento verrà aggiornato.
Per il momento se avete in azienda un server Exchange vi conviene applicare tutte le patch raccomandate da Microsoft ed eseguire subito questo Mitigation Tool appena rilasciato, vi consiglio anche di controllare nei logs di sistema eventuali anomalie (potete aiutarvi con lo script Test-ProxyLogon.ps1 che trovate sempre su github) e fate anche attenzione a comportamenti strani della macchina.
Sicuramente nel pacchetto cumulativo di Windows Update di aprile 2021 saranno rilasciate ulteriori patch di sicurezza per Microsoft Exchange per risolvere definitivamente questo grosso problema che si è creato.
Ulteriori informazioni sono disponibili qui :
Comunque è un’altra brutta figura che Microsoft poteva tranquillamente risparmiarsi…….
: – (
