Microsoft le vendredi divulgué il a apporté davantage d’améliorations à la méthode d’atténuation proposée comme moyen d’empêcher les tentatives d’exploitation contre les failles de sécurité non corrigées récemment révélées dans Exchange Server.
À cette fin, le géant de la technologie a révisé la règle de blocage dans IIS Manager de « .*autodiscover.json.*Powershell.* » à « (?=.*autodiscover.json)(?=.*powershell). »
La liste des étapes mises à jour pour ajouter la règle de réécriture d’URL est ci-dessous –
- Ouvrir le gestionnaire IIS
- Sélectionnez le site Web par défaut
- Dans la vue des fonctionnalités, cliquez sur Réécriture d’URL
- Dans le volet Actions sur le côté droit, cliquez sur Ajouter une ou plusieurs règles…
- Sélectionnez Demander le blocage et cliquez sur OK
- Ajoutez la chaîne « (?=.*autodiscover.json)(?=.*powershell) » (hors guillemets)
- Sélectionnez Expression régulière sous Utilisation
- Sélectionnez Abandonner la demande sous Comment bloquer, puis cliquez sur OK
- Développez la règle et sélectionnez la règle avec le modèle : (?=.*autodiscover.json)(?=.*powershell) et cliquez sur Modifier sous Conditions
- Modifiez l’entrée Condition de URL à UrlDecode :REQUEST_URI, puis cliquez sur OK
Alternativement, les utilisateurs peuvent obtenir les protections souhaitées en exécutant un outil d’atténuation sur site Exchange basé sur PowerShell (EOMTv2.ps1), qui a également été mis à jour pour prendre en compte le modèle d’URL susmentionné.
La problèmes activement exploitésappelé ProxyNotShell (CVE-2022-41040 et CVE-2022-41082), n’ont pas encore été traités par Microsoft, bien qu’avec le Patch Tuesday qui approche à grands pas, l’attente pourrait ne pas être longue.
Une militarisation réussie des failles pourrait permettre à un attaquant authentifié d’enchaîner les deux vulnérabilités pour réaliser l’exécution de code à distance sur le serveur sous-jacent.
Le géant de la technologie a reconnu la semaine dernière que les lacunes avaient peut-être été exploitées par un seul acteur de la menace parrainé par l’État depuis août 2022 dans des attaques ciblées limitées visant moins de 10 organisations dans le monde.