Microsoft ha revisado sus medidas de mitigación para las fallas de día cero recientemente reveladas y explotadas activamente en Exchange Server después de que se descubrió que podían pasarse por alto.
Las dos vulnerabilidades, rastreadas como CVE-2022-41040 y CVE-2022-41082, recibieron el nombre en código ProxyNotShell debido a las similitudes con otro conjunto de fallas llamadas ProxyShell, que el gigante tecnológico resolvió el año pasado.
Ataques en estado salvaje que abusan de la deficiencias han encadenado las dos fallas para obtener la ejecución remota de código en servidores comprometidos con privilegios elevados, lo que lleva a la implementación de shells web.
El fabricante de Windows, que aún no ha publicado una solución para los errores, ha reconocido que un solo actor de amenazas patrocinado por el estado puede haber estado utilizando las fallas como arma desde agosto de 2022 en ataques dirigidos limitados.
Mientras tanto, la empresa ha puesto a disposición soluciones temporales para reducir el riesgo de explotación al restringir los patrones de ataque conocidos a través de una regla en el Administrador de IIS.
Sin embargo, según el investigador de seguridad Jang (@testanull), el patrón de URL se puede eludir fácilmente, con el analista sénior de vulnerabilidades Will Dormann tomando nota que las mitigaciones del bloque son “innecesariamente precisas, y por lo tanto insuficientes”.
Microsoft tiene desde revisado la regla de reescritura de URL (también disponible como una secuencia de comandos de PowerShell) para tener esto en cuenta –
- Administrador de IIS abierto
- Seleccionar sitio web predeterminado
- En la Vista de características, haga clic en Reescritura de URL
- En el panel Acciones en el lado derecho, haga clic en Agregar regla(s)…
- Seleccione Solicitar bloqueo y haga clic en Aceptar
- Agregue la cadena “.*autodiscover.json.*Powershell.*” (excluyendo las comillas)
- Seleccione Expresión regular en Uso
- Seleccione Cancelar solicitud en Cómo bloquear y luego haga clic en Aceptar
- Expanda la regla y seleccione la regla con el patrón: .*autodiscover.json.*Powershell.* y haga clic en Editar en Condiciones
- Cambie la entrada de condición de URL a REQUEST_URI
No está claro de inmediato cuándo Microsoft planea lanzar un parche para las dos vulnerabilidades, pero es posible que se envíen como parte de las actualizaciones del martes de parches la próxima semana, el 11 de octubre de 2022.