CVE-2022-41040 ve CVE-2022-41082 olarak tanımlanan ve genellikle ProxyNotShell olarak bilinen en son Exchange sıfır gün kusurları, Microsoft’un karşı önlemlerini güncelledi.
Araştırmacılar, iki kusuru kullanan yeni saldırılara izin vermek için ilk önerilerin kolayca geçersiz kılınabileceğini, bu nedenle yetersiz olduklarını gösterdi. Ne yazık ki, mevcut öneriler hala yetersiz ve önerilen azaltma, ProxyNotShell saldırılarına hala yer bırakıyor.
Güvenlik araştırmacıları, URL Yeniden Yazma kuralının REQUEST_URI’ye URL’sinin hala bilgisayar korsanlarının karşı önlemleri aşmasına olanak tanıdığını keşfetti.
Pieter Hiele, URI’deki dizeleri filtreleme kriterleri belirlenirken karakter kodlamasının dikkate alınmaması nedeniyle kuralın etkisiz olduğunu keşfetti.
Will Dormann’a göre Hiele’nin bypass’ı etkilidir, ayrıca REQUEST URI’nin karakterler kodlandığında değersiz olduğunu da açıkladı.
İki kusura ProxyNotShell takma adını veren güvenlik araştırmacısı Kevin Beamont’a göre, Microsoft’un daha iyi savunmasını aşmak için sadece bir harf yeterli.
Farklı hafifletme yöntemleri
Microsoft Salı günü, danışma belgesini geliştirilmiş URL Yeniden Yazma kuralıyla güncellediğini ve Exchange Server kullanıcılarına onu incelemelerini ve kullanmalarını tavsiye ettiğini belirtti.
Exchange Server 2016 ve Exchange Server 2019 için güncellenmiş URL Yeniden Yazma azaltma, Exchange Acil Durum Azaltma Hizmeti’ni (EEMS) etkinleştirmiş istemciler tarafından otomatik olarak kullanılabilir. URL Yeniden Yazma kuralı geliştirmesi artık EOMTv2 komut dosyasına dahil edilmiştir (sürüm 22.10.03.1829). İnternet erişimi olan bilgisayarlarda otomatik olarak güncellenir ve EEMS’nin açık olmadığı herhangi bir Exchange Server’ın bir kez daha çalıştırması gerekir.
Üçüncü seçenek, önceki kuralı manuel olarak kaldırmak ve geliştirilmiş olanı uygulamaktır.
Microsoft, yönetici olmayan kullanıcıların uzak PowerShell’e erişiminin engellenmesini önerir. Sınırlama bir veya daha fazla kişiye uygulanabilir ve işlem beş dakikadan fazla sürmemelidir.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.