微软发布了应对 Zero-Days新的解决办法

微软修改了对新披露的Exchange Server Zero-Days漏洞的缓解措施。

这两个漏洞被跟踪为CVE – 2022 – 41040和CVE – 2022 – 41082，由于与该技术巨头去年解决的另一组称为ProxyShell的漏洞有相似之处，因此代号为ProxyNotShell。

滥用这些缺陷的远程攻击将这两个缺陷链接起来，在权限提升的受损服务器上实现远程代码执行，导致Web Shell的部署。

 Windows制造商尚未公布漏洞修复方案，但它承认，自2022年8月以来，一个单一的国家支持的威胁行为体可能会在有限的目标攻击中武器化这些缺陷。

同时，该公司通过IIS管理器中的规则限制已知的攻击模式，提供了临时解决办法，以减少被利用的风险。

根据安全研究员Jang ( @ testanull )的说法，URL模式很容易被绕过，高级漏洞分析师Will多曼指出，块缓解是”不必要的精确，因此是不够的”。

此后，Microsoft修改了URL重写规则(也可作为独立的PowerShell脚本使用)以考虑到这一点-

· 打开Iis经管理

· 选择默认网站

· 在Feature View中单击” URL重写”

· 在右侧的”操作”窗格中，单击”添加规则”…

· 选择Request Blocking并点击OK

· 添加字符串’ . * autodiscover \ . json . * Powershell . * ‘ (不包括引号)

· 使用下选择正则表达式

· 在”如何阻止”下选择”中止请求”，然后单击”确定”

· 展开规则并选择模式为：. * autodiscover \ .json. * Powershell . *的规则，然后单击”在条件下编辑”

· 将条件输入从{ URL }更改为{ REQUEST _ URI }

目前尚不清楚微软计划何时为这两个漏洞推送修补程序，但有可能在2022年10月11日下周的Patch Tuesday更新中发布。