Cuma günü Microsoft ifşa Exchange Server’da yeni açıklanan yama uygulanmamış güvenlik açıklarına karşı istismar girişimlerini önlemek için sunulan azaltma yönteminde daha fazla iyileştirme yaptı.
Bu amaçla teknoloji devi, IIS Yöneticisi’ndeki engelleme kuralını “.*autodiscover.json.*Powershell.*” yerine “(?=.*autodiscover.json)(?=.*powershell)” olarak revize etti.
URL Yeniden Yazma kuralını eklemek için güncellenen adımların listesi aşağıdadır –
- IIS Yöneticisini Aç
- Varsayılan Web Sitesini Seçin
- Özellik Görünümünde, URL Yeniden Yaz’ı tıklayın.
- Sağ taraftaki Eylemler bölmesinde, Kural(lar) Ekle… seçeneğine tıklayın.
- Engelleme İste’yi seçin ve Tamam’a tıklayın
- “(?=.*autodiscover.json)(?=.*powershell)” dizesini ekleyin (tırnak işaretleri hariç)
- Kullanma altında Normal İfade’yi seçin
- Nasıl engellenir altında İsteği İptal Et’i seçin ve ardından Tamam’a tıklayın.
- Kuralı genişletin ve şu kalıbı içeren kuralı seçin: (?=.*autodiscover.json)(?=.*powershell) ve Koşullar altında Düzenle’yi tıklayın.
- URL olan Koşul girişini UrlDecode:REQUEST_URI olarak değiştirin ve ardından Tamam’ı tıklayın.
Alternatif olarak, kullanıcılar PowerShell tabanlı bir Exchange Şirket İçi Azaltma Aracı (EOMTv2.ps1), yukarıda belirtilen URL modelini de dikkate alacak şekilde güncellendi.
bu aktif olarak kullanılan sorunlarProxyNotShell (CVE-2022-41040 ve CVE-2022-41082) olarak adlandırılan , Microsoft tarafından henüz ele alınmadı, ancak Salı günü Yama ile hemen köşeyi dönünce bekleme uzun sürmeyebilir.
Kusurların başarılı bir şekilde silahlandırılması, kimliği doğrulanmış bir saldırganın, temel sunucuda uzaktan kod yürütülmesini sağlamak için iki güvenlik açığını zincirlemesine olanak sağlayabilir.
Teknoloji devi geçen hafta, eksikliklerin Ağustos 2022’den bu yana dünya çapında 10’dan az kuruluşu hedefleyen sınırlı hedefli saldırılarda devlet destekli tek bir tehdit aktörü tarafından kötüye kullanılmış olabileceğini kabul etti.