Microsoft el viernes revelado ha realizado más mejoras en el método de mitigación ofrecido como un medio para evitar intentos de explotación contra las fallas de seguridad sin parches recientemente reveladas en Exchange Server.
Con ese fin, el gigante tecnológico ha revisado la regla de bloqueo en IIS Manager de «.*autodiscover.json.*Powershell.*» a «(?=.*autodiscover.json)(?=.*powershell)».
La lista de pasos actualizados para agregar la regla de reescritura de URL se encuentra a continuación:
- Administrador de IIS abierto
- Seleccionar sitio web predeterminado
- En la Vista de características, haga clic en Reescritura de URL
- En el panel Acciones en el lado derecho, haga clic en Agregar regla(s)…
- Seleccione Solicitar bloqueo y haga clic en Aceptar
- Agregue la cadena «(?=.*autodiscover.json)(?=.*powershell)» (excluyendo las comillas)
- Seleccione Expresión regular en Uso
- Seleccione Cancelar solicitud en Cómo bloquear y luego haga clic en Aceptar
- Expanda la regla y seleccione la regla con el patrón: (?=.*autodiscover.json)(?=.*powershell) y haga clic en Editar en Condiciones
- Cambie la entrada de condición de URL a UrlDecode:REQUEST_URI y luego haga clic en Aceptar
Como alternativa, los usuarios pueden lograr las protecciones deseadas mediante la ejecución de una herramienta de mitigación local de Exchange basada en PowerShell (EOMTv2.ps1), que también se ha actualizado para tener en cuenta el patrón de URL mencionado anteriormente.
los problemas explotados activamentellamado ProxyNotShell (CVE-2022-41040 y CVE-2022-41082), aún no han sido abordados por Microsoft, aunque con Patch Tuesday a la vuelta de la esquina, la espera puede no ser larga.
El uso exitoso de las fallas como arma podría permitir que un atacante autenticado encadene las dos vulnerabilidades para lograr la ejecución remota del código en el servidor subyacente.
El gigante tecnológico, la semana pasada, reconoció que las deficiencias pueden haber sido abusadas por un solo actor de amenazas patrocinado por el estado desde agosto de 2022 en ataques dirigidos limitados dirigidos a menos de 10 organizaciones en todo el mundo.