Microsoft

Microsoft reveló el viernes que ha realizado más mejoras en el método de mitigación ofrecido como un medio para evitar intentos de explotación contra las fallas de seguridad sin parches recientemente reveladas en Exchange Server.

Con ese fin, el gigante tecnológico ha revisado la regla de bloqueo en IIS Manager de «.autodiscover.json.Powershell.» a «(?=.autodiscover.json)(?=.*powershell)».

La lista de pasos actualizados para agregar la regla de reescritura de URL se encuentra a continuación:

  • Administrador de IIS abierto
  • Seleccionar sitio web predeterminado
  • En la Vista de características, haga clic en Reescritura de URL
  • En el panel Acciones en el lado derecho, haga clic en Agregar regla(s)…
  • Seleccione Solicitar bloqueo y haga clic en Aceptar
  • Agregue la cadena «(?=.*autodiscover\.json)(?=.*powershell)» (excluyendo las comillas)
  • Seleccione Expresión regular en Uso
  • Seleccione Cancelar solicitud en Cómo bloquear y luego haga clic en Aceptar
  • Expanda la regla y seleccione la regla con el patrón: (?=.*autodiscover\.json)(?=.*powershell) y haga clic en Editar en Condiciones
  • Cambie la entrada de condición de {URL} a {UrlDecode:{REQUEST_URI}} y luego haga clic en Aceptar

Alternativamente, los usuarios pueden lograr las protecciones deseadas mediante la ejecución de una herramienta de mitigación local de Exchange basada en PowerShell ( EOMTv2.ps1 ), que también se actualizó para tener en cuenta el patrón de URL mencionado anteriormente.

Los problemas explotados activamente , llamados ProxyNotShell (CVE-2022-41040 y CVE-2022-41082), aún no han sido solucionados por Microsoft, aunque con Patch Tuesday a la vuelta de la esquina, la espera puede no ser larga.

El uso exitoso de las fallas como arma podría permitir que un atacante autenticado encadene las dos vulnerabilidades para lograr la ejecución remota del código en el servidor subyacente.

El gigante tecnológico, la semana pasada, reconoció que las deficiencias pueden haber sido abusadas por un solo actor de amenazas patrocinado por el estado desde agosto de 2022 en ataques dirigidos limitados dirigidos a menos de 10 organizaciones en todo el mundo.

Actualización: Microsoft, durante el fin de semana, dijo que una vez más realizó una corrección en la cadena de la URL: «(?=.autodiscover)(?=.powershell)», que se agregará a la regla de bloqueo en el Administrador de IIS para prevenir intentos de explotación.

Fuente y redacción: thehackernews.com

Compartir