Microsoft forbedrer afbødning mod ProxyNotShell

Microsoft udsender af flere omgange forbedringer til afbødning af Exchange Server-sårbarheder.

Microsoft har fredag foretaget flere forbedringer af den metode til afbødning, der er udgivet for at forhindre udnyttelsesforsøg mod de nyligt afslørede, men endnu ikke rettede sikkerhedsfejl i Exchange Server. De fejl, der har fået navnet ProxyNotShell.

Det skriver The Hacker News på baggrund af en blog fra Microsoft Security Response Center.

I korte træk handler det om revidering af blokeringsreglen i IIS Manager – en regel, der yderligere blev revideret lørdag. 

Et alternativ til denne er afvikle et PowerShell-baseret Exchange On-premises Mitigation Tool (EOMTv2.ps1). Dette skal også være blevet forbedret siden den første udgivelse.  

ProxyNotShell-fejlene har id’erne CVE-2022-41040 og CVE-2022-41082, som kan kædes sammen af en autentificeret angriber til at muliggøre fjernafvikling af kode på den underliggende server.

Microsoft har erkendt, at fejlene kan være blevet misbrugt af en enkelt statssponsoreret trusselsaktør ’siden august 2022 i begrænsede målrettede angreb rettet mod mindre end 10 organisationer verden over.’

Links:

https://thehackernews.com/2022/10/microsoft-issues-improved-mitigations.html

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/