Hôm thứ Sáu, Microsoft tiết lộ rằng họ đã thực hiện nhiều cải tiến hơn đối với phương pháp giảm thiểu được cung cấp như một phương tiện để ngăn chặn các nỗ lực khai thác chống lại các lỗi bảo mật chưa được vá mới được tiết lộ trong Exchange Server.
Vì vậy, gã khổng lồ công nghệ đã sửa đổi quy tắc chặn trong Trình quản lý IIS từ “. * Autodiscover \ .json. * Powershell. *” Thành “(? =. * Autodiscover \ .json) (? =. * Powershell).”
Dưới đây là danh sách các bước được cập nhật để thêm quy tắc Ghi lại URL:
Mở Trình quản lý IIS Chọn Trang web Mặc định Trong Dạng xem Tính năng, nhấp vào Ghi lại URL Trong ngăn Tác vụ ở phía bên phải, nhấp vào Thêm (các) Quy tắc… Chọn Chặn Yêu cầu và nhấp vào OK Thêm chuỗi “(? =. * Autodiscover \ .json) (? =. * powershell) “(không bao gồm dấu ngoặc kép) Chọn Biểu thức chính quy trong Sử dụng Chọn Hủy yêu cầu trong Cách chặn và sau đó nhấp vào OK Mở rộng quy tắc và chọn quy tắc có mẫu: (? =. * autodiscover \. json) (? =. * powershell) và nhấp vào Chỉnh sửa trong Điều kiện Thay đổi đầu vào Điều kiện từ {URL} thành {UrlDecode: {REQUEST_URI}} và sau đó nhấp vào OK
Ngoài ra, người dùng có thể đạt được các biện pháp bảo vệ mong muốn bằng cách thực hiện Công cụ giảm nhẹ Exchange tại chỗ dựa trên PowerShell (EOMTv2.ps1), cũng đã được cập nhật để tính đến mẫu URL nói trên.
Các vấn đề được khai thác tích cực, được gọi là ProxyNotShell (CVE-2022-41040 và CVE-2022-41082), vẫn chưa được Microsoft giải quyết, mặc dù với Bản vá thứ ba sắp ra mắt, thời gian chờ đợi có thể không lâu.
Việc vũ khí hóa thành công các lỗ hổng có thể cho phép kẻ tấn công đã xác thực xâu chuỗi hai lỗ hổng để thực hiện mã từ xa trên máy chủ bên dưới.
Người khổng lồ công nghệ, vào tuần trước, thừa nhận rằng những thiếu sót có thể đã bị lạm dụng bởi một tác nhân đe dọa duy nhất được nhà nước bảo trợ kể từ tháng 8 năm 2022 trong các cuộc tấn công có mục tiêu hạn chế nhằm vào ít hơn 10 tổ chức trên toàn thế giới.
