Компания Microsoft в пятницу сообщила о том, что внесла дополнительные улучшения в метод смягчения последствий, предлагаемый в качестве средства предотвращения попыток эксплуатации недавно раскрытых неисправленных дефектов безопасности в Exchange Server.
Для этого технологический гигант изменил правило блокировки в IIS Manager с ".*autodiscover\.json.*Powershell.*" на "(?=.*autodiscover\.json)(?=.*powershell)".
Список обновленных шагов для добавления правила URL Rewrite:
- Откройте диспетчер IIS.
- Выберите веб-сайт по умолчанию.
- В представлении характеристик щелкните URL Rewrite.
- В панели Действия с правой стороны нажмите «Добавить правило».
- Выберите Блокирование запросов и нажмите OK.
- Добавьте строку "(?=.*autodiscover\.json)(?=.*powershell)" (исключая кавычки).
- Выберите Регулярное выражение в разделе Использование.
- Abort Request в разделе How to block и нажмите OK.
- правило и выберите правило с шаблоном: (?=.*autodiscover\.json)(?=.*powershell) и нажмите Edit в Conditions.
- условие ввода с {URL} на {UrlDecode:{REQUEST_URI}} и нажмите OK.
В качестве альтернативы, пользователи могут добиться желаемой защиты, выполнив PowerShell-инструмент Exchange On-premises Mitigation Tool (EOMTv2.ps1), который также был обновлен для учета вышеупомянутого шаблона URL.
Активно эксплуатируемые уязвимости под названием ProxyNotShell (CVE-2022-41040 и CVE-2022-41082) еще не устранены компанией Microsoft, хотя «вторник исправлений» уже не за горами, и ждать осталось недолго.
Успешное использование дефектов может позволить аутентифицированному злоумышленнику объединить две уязвимости в цепочку и добиться удаленного выполнения кода на сервере.
На прошлой неделе технологический гигант признал, что эти баги могли быть использованы одной из спонсируемых государством хакерских группировок с августа 2022 года в ограниченных целевых атаках, направленных на около 10 организаций по всему миру.
Источник: https://thehackernews.com
