Microsoft 已针对最新的 Exchange 零日漏洞更新了缓解措施,这些漏洞被跟踪为 CVE-2022-41040 和 CVE-2022-41082,也称为 ProxyNotShell。
最初的建议是不够的,因为研究人员表明它们可以很容易地被绕过,从而允许利用这两个漏洞的新攻击。
改进的 URL 重写规则
三周前私下向 Microsoft 报告的 CVE-2022-41040 是一种服务器端请求伪造 (SSRF),它可以提升权限并与 CVE-2022-41082 一起在本地 Exchange 服务器部署上触发远程代码执行。
这两个安全问题的严重程度都很高,主要是因为利用它们需要身份验证。
8 月份检测到威胁行为者利用漏洞链安装 China Chopper webshell 并进行 Active Directory 侦察和数据泄露。
微软于 10 月 3 日发布了缓解措施以防止这些已知攻击。由于提议的 URL 阻止规则过于具体, 攻击者仍然可以 在新的攻击中利用 Exchange 漏洞。
多位安全研究人员指出了这一点,并推荐了一种限制较少的临时解决方案,直到补丁可用。
Microsoft 审查了该建议,并在更新的缓解措施中采用了它。以下是改进推荐(绿色)和初始推荐(红色)之间的主要区别。
来源:BleepingComputer
三种缓解方案
周二,微软宣布使用改进的 URL 重写规则更新其公告,建议 Exchange Server 客户对其进行审查并采用提供的三个缓解选项之一。
启用了 Exchange 紧急缓解服务 (EEMS) 的客户自动受益于针对 Exchange Server 2016 和 Exchange Server 2019 更新的 URL 重写缓解
EOMTv2 脚本 (版本 22.10.03.1829)现在包括 URL 重写规则改进。它会在联网的机器上自动更新,并且应该在没有启用 EEMS 的任何 Exchange Server 上再次运行
第三种选择是手动删除之前创建的规则并按照以下说明添加改进的规则:
- 打开 IIS 管理器
- 选择默认网站
- 在功能视图中,单击URL 重写
- 在右侧的操作窗格中,单击添加规则…
- 选择请求阻止并单击确定
- 添加字符串“ .*autodiscover\.json.*Powershell.* ”(不包括引号)。
- 在使用下选择正则表达式。
- 在如何阻止下选择中止请求,然后单击确定。
- 展开规则并选择具有以下模式的规则:.*autodiscover\.json.*Powershell.*,然后单击条件下的编辑。
- 将条件输入从 {URL} 更改为 {REQUEST_URI}
- 此外,Microsoft 建议 对非管理员用户禁用远程 PowerShell 访问。该操作应少于五分钟,并且可以仅对一个或多个用户实施限制。
此外,Microsoft 建议 对非管理员用户禁用远程 PowerShell 访问。该操作应少于五分钟,并且可以仅对一个或多个用户实施限制。
值得注意的是,微软为使用本地 Exchange 服务器的客户提供了这些缓解措施,这意味着采用 混合部署 的公司也面临风险。
此外,通过公共 Web 公开 Exchange 服务器的组织面临更高的攻击风险。其中一些在政府、金融和教育部门,成为民族国家黑客和网络犯罪分子的有吸引力的目标。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Microsoft更新 ProxyNotShell Exchange零天缓解措施
