Microsoft, yeni açıklanan ve aktif olarak sömürülen Önemsiz bir şekilde atlanabilecekleri bulunduktan sonra Exchange Server’daki sıfır gün kusurları.
CVE-2022-41040 ve CVE-2022-41082 olarak izlenen iki güvenlik açığı, teknoloji devinin geçen yıl çözdüğü ProxyShell adlı başka bir dizi kusurla benzerlikleri nedeniyle ProxyNotShell olarak kodlandı.
Vahşi saldırılar eksiklikler güvenliği ihlal edilmiş sunucularda yüksek ayrıcalıklara sahip uzaktan kod yürütme elde etmek için iki kusuru zincirlediler ve bu da web kabuklarının dağıtımına yol açtı.
Hatalar için henüz bir düzeltme yayınlamayan Windows üreticisi, devlet destekli tek bir tehdit aktörünün, Ağustos 2022’den bu yana sınırlı hedefli saldırılarda kusurları silahlandırıyor olabileceğini kabul etti.
Bu arada şirket, bilinen saldırı modellerini IIS Yöneticisi’ndeki bir kural aracılığıyla kısıtlayarak, kötüye kullanım riskini azaltmak için geçici çözümler sağladı.
Ancak, güvenlik araştırmacısı Jang’a göre (@testanull), üst düzey güvenlik açığı analisti Will Dormann ile URL modeli kolayca atlatılabilir not etmek blok azaltmaların “gereksiz yere kesin ve bu nedenle yetersiz” olduğunu.
Microsoft o zamandan beri revize URL Yeniden Yazma kuralı (bağımsız olarak da mevcuttur) PowerShell betiği) bunu dikkate almak için –
- IIS Yöneticisini Aç
- Varsayılan Web Sitesini Seçin
- Özellik Görünümünde, URL Yeniden Yaz’ı tıklayın.
- Sağ taraftaki Eylemler bölmesinde, Kural(lar) Ekle… seçeneğine tıklayın.
- Engelleme İste’yi seçin ve Tamam’a tıklayın
- “.*autodiscover.json.*Powershell.*” dizesini ekleyin (tırnak işaretleri hariç)
- Kullanma altında Normal İfade’yi seçin
- Nasıl engellenir altında İsteği İptal Et’i seçin ve ardından Tamam’a tıklayın.
- Kuralı genişletin ve şu kalıbı içeren kuralı seçin: .*autodiscover.json.*Powershell.* ve Koşullar altında Düzenle’yi tıklayın.
- URL olan Koşul girişini REQUEST_URI olarak değiştirin
Microsoft’un iki güvenlik açığı için ne zaman bir yama yayınlamayı planladığı hemen belli değil, ancak önümüzdeki hafta 11 Ekim 2022’de Salı Yaması güncellemelerinin bir parçası olarak gönderilmeleri mümkün.
