Microsoft stellt das Tool „Exchange On-premises Mitigation Tool (EOMT) zu Absicherung ungepatchter Exchange Server zum Download bereit:
EOMT first secures the Exchange Server against the vulnerability CVE-2021-26855 using URL rewrite and then downloads the Microsoft Safty Scanner to check the server for a successful attack. However, EOMT does not install the available updates but only implements a workaround, so the updates must be installed separately.
EOMT soll also Admins helfen, die nicht so schnell die Server patchen können, beispielsweise weil die Systeme bei vielen Kunden verteilt stehen. Bei EOMT handelt es sich wie auch schon bei „ExchangeMitigations.ps1“ um ein PowerShell Script, welches zusätzlich versucht, Auswirkungen eines erfolgreichen Angriffs zu beheben. Ob das wirklich so funktioniert, müsste mal jemand Betroffenes ausprobieren. Vielleicht lässt sich ja so eine Neuinstallation des Servers vermeiden. Inwieweit man dem Tool allerdings vertrauen will, bleibt jedem selbst überlassen. EMOT scannt auch nur den Exchange Server, es kann nicht feststellen, ob ein Angreifer bereits tiefer ins Netzwerk vorgedrungen ist.
Important: Vulnerable Exchange servers must be supplied with the updates, EOMT should only provide a little more time here. Even those who have already installed the updates can use EOMT to check whether there are any indications of a successful attack:
EOMT can simply be executed via PowerShell and then runs automatically. The server must have access to the Internet so that the Safty Scanner and the IIS rewrite module can be downloaded. The script then runs automatically:
After the script has run, the log file can be found under C:\
The EOMTSummary.txt file also contains the directory where further logs were recorded.