Microsoft, Exchange Server’da yeni açıklanan ve aktif olarak yararlanılan sıfırıncı gün kusurları için hafifletme önlemlerini, önemsiz bir şekilde atlanabilecekleri tespit edildikten sonra revize etti.
CVE-2022-41040 ve CVE-2022-41082 olarak izlenen iki güvenlik açığı, teknoloji devinin geçen yıl çözdüğü ProxyShell adlı başka bir dizi kusurla benzerlikleri nedeniyle ProxyNotShell olarak kodlandı.
Eksiklikleri kötüye kullanan vahşi saldırılar, güvenliği ihlal edilmiş sunucularda yüksek ayrıcalıklara sahip uzaktan kod yürütme elde etmek için iki kusuru zincirledi ve web kabuklarının dağıtımına yol açtı.
Hatalar için henüz bir düzeltme yayınlamayan Windows üreticisi, devlet destekli tek bir tehdit aktörünün, Ağustos 2022’den bu yana sınırlı hedefli saldırılarda kusurları silahlandırıyor olabileceğini kabul etti.
Sömürü riskini azaltmak için şirket, IIS Yöneticisi’ndeki bir kural aracılığıyla bilinen saldırı modellerini kısıtlamak için tasarlanmış geçici çözümler de paylaştı.
Ancak, güvenlik araştırmacısı Jang’a göre (@testanull), üst düzey güvenlik açığı analisti Will Dormann ile URL modeli kolayca atlatılabilir not etmek blok azaltmaların “gereksiz yere kesin ve bu nedenle yetersiz” olduğunu.
Microsoft o zamandan beri bunu dikkate almak için URL Yeniden Yazma kuralını (bağımsız bir PowerShell betiği olarak da mevcuttur) revize etti –
- IIS Yöneticisini Aç
- Varsayılan Web Sitesini Seçin
- Özellik Görünümünde, URL Yeniden Yaz’ı tıklayın.
- Sağ taraftaki Eylemler bölmesinde, Kural(lar) Ekle… seçeneğine tıklayın.
- Engelleme İste’yi seçin ve Tamam’a tıklayın
- “.*autodiscover\.json.*Powershell.*” dizesini ekleyin (tırnak işaretleri hariç)
- Kullanma altında Normal İfade’yi seçin
- Nasıl engellenir altında İsteği İptal Et’i seçin ve ardından Tamam’a tıklayın.
- Kuralı genişletin ve şu kalıbı içeren kuralı seçin: .*autodiscover\.json.*Powershell.* ve Koşullar altında Düzenle’yi tıklayın.
- {URL} olan Koşul girişini {REQUEST_URI} olarak değiştirin
Microsoft’un iki güvenlik açığı için ne zaman bir yama yayınlamayı planladığı hemen belli değil, ancak önümüzdeki hafta 11 Ekim 2022’de Salı Yaması güncellemelerinin bir parçası olarak gönderilmeleri mümkün.