Microsoft针对未修补的Exchange服务器漏洞发布了改进的缓解措施
微软上周五透露,它对未修补的漏洞提供的缓解方法进行了更多的改进,以防止攻击者利用新披露的Exchange Server中的未修补安全缺陷。
为此,科技巨头将IIS Manager中的阻塞规则从’ . * autodiscover \ . json . * Powershell . * ‘修改为’ ( ? = . * autodiscover \ . json ) ( ? = . * powershell ) ‘。
添加URL重写规则的更新步骤列表如下:
· 打开Iis管理
· 选择默认网站
· 在Feature View中单击” URL重写”
· 在右侧的”操作”窗格中,单击”添加规则”…
· 选择Request Blocking并点击OK
· 添加字符串’ ( ? = . * autodiscover \ . json ) ( ? = . * powershell ) ‘ (不包括引号)
· 使用下选择正则表达式
· 在”如何阻止”下选择”中止请求”,然后单击”确定”
· 展开规则并选择模式为( ? = . * autodiscover \ .json ) ( ? = . * powershell )的规则,然后单击”在条件下编辑”
· 将条件输入从{ URL }改为{ UrlDecode:{ REQUEST _ URI } },然后单击OK
或者,用户可以通过执行基于PowerShell的交换本地缓解工具( EOMTv2.ps1 )来实现所需的保护,该工具也已更新以考虑上述URL模式。
被称为” ProxyNotShell ( CVE – 2022 – 41040和CVE – 2022 – 41082) “的被积极开发的问题还没有被微软解决,尽管Patch周二即将到来,等待的时间可能不会太长。
缺陷的成功武器化可使经过身份验证的攻击者将这两个漏洞链接起来,从而在基础服务器上实现远程代码执行。
该技术巨头上周承认,自2022年8月以来,在针对全世界不到10个组织的有限目标攻击中,这些缺陷可能被国家支持的威胁行为者滥用。
