Microsoft Cuma günü, Exchange Server’da yeni açıklanan yama uygulanmamış güvenlik kusurlarına karşı istismar girişimlerini önlemenin bir yolu olarak sunulan azaltma yönteminde daha fazla iyileştirme yaptığını açıkladı.
Bu amaçla teknoloji devi, IIS Yöneticisi’ndeki engelleme kuralını “.*autodiscover\.json.*Powershell.*” yerine “(?=.*autodiscover\.json)(?=.*powershell)” olarak revize etti.
URL Yeniden Yazma kuralını eklemek için güncellenen adımların listesi aşağıdadır –
- IIS Yöneticisini Aç
- Varsayılan Web Sitesini Seçin
- Özellik Görünümünde, URL Yeniden Yaz’ı tıklayın.
- Sağ taraftaki Eylemler bölmesinde, Kural(lar) Ekle… seçeneğine tıklayın.
- Engelleme İste’yi seçin ve Tamam’a tıklayın
- “(?=.*autodiscover\.json)(?=.*powershell)” dizesini ekleyin (tırnak işaretleri hariç)
- Kullanma altında Normal İfade’yi seçin
- Nasıl engellenir altında İsteği İptal Et’i seçin ve ardından Tamam’a tıklayın.
- Kuralı genişletin ve şu kalıbı içeren kuralı seçin: (?=.*autodiscover\.json)(?=.*powershell) ve Koşullar altında Düzenle’yi tıklayın.
- {URL} olan Koşul girişini {UrlDecode:{REQUEST_URI}} olarak değiştirin ve ardından Tamam’ı tıklayın.
Alternatif olarak, kullanıcılar, yukarıda belirtilen URL modelini de dikkate alacak şekilde güncellenen PowerShell tabanlı bir Şirket İçi Exchange Azaltma Aracı (EOMTv2.ps1) yürüterek istenen korumaları elde edebilir.
ProxyNotShell (CVE-2022-41040 ve CVE-2022-41082) olarak adlandırılan ve aktif olarak yararlanılan sorunlar henüz Microsoft tarafından ele alınmadı, ancak Salı Yaması ile birlikte bekleme çok uzun sürmeyebilir.
Kusurların başarılı bir şekilde silahlandırılması, kimliği doğrulanmış bir saldırganın, temel sunucuda uzaktan kod yürütülmesini sağlamak için iki güvenlik açığını zincirlemesine olanak sağlayabilir.
Teknoloji devi geçen hafta, eksikliklerin Ağustos 2022’den bu yana dünya çapında 10’dan az kuruluşu hedefleyen sınırlı hedefli saldırılarda devlet destekli tek bir tehdit aktörü tarafından kötüye kullanılmış olabileceğini kabul etti.