Microsoft Exchange Server ha lanzado un script para que los administradores de sistemas puedan comprobar si el servidor se encuentra comprometido por el actor malicioso HAFNIUM. Este script realiza un escaneo de los archivos de registro de Exchange, buscando indicadores de compromisos.
Esto se debió a las vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) que fueron reveladas el 2 de marzo del 2021, donde el atacante instalaba una Web Shell en los servidores de Outlook Web (OWA), que les permitía controlar el servidor y poder acceder a la red interna de las instituciones afectada.
El script se encuentra en el repositorio de GitHub (https://github.com/microsoft/CSS-Exchange/tree/main/Security), para ser utilizado libremente por los administradores de sistemas y comprobar si su servidor se encuentra comprometido.
“CISA es consciente de la explotación generalizada nacional e internacional de estas vulnerabilidades y recomienda encarecidamente a las organizaciones que ejecuten el script Test-ProxyLogon.ps1, tan pronto como sea posible, para ayudar a determinar si sus sistemas están comprometidos”, informa CISA en uno de sus comunicados.
Además Microsoft Defender ha incluido actualizaciones de inteligencia de seguridad a la última versión de Microsoft Safety Scanner que se puede descargar gratuitamente para detectar y remediar amenazas conocidas como las afectadas recientemente a Exchange Server.
