Exchange零天缓解已过去！Microsoft发布新解决方案

微软已经更新了其缓解措施，以应对新披露的Exchange Server零日漏洞，并积极利用这些漏洞，因为发现这些漏洞可以被轻易绕过。

这两个漏洞被追踪为CVE-22-41040和CVE-22-40082，由于与另一组名为ProxyShell的漏洞相似，因此被命名为ProxyNotShell，这家科技巨头去年解决了该漏洞。

在肆虐的攻击中，滥用这两个缺陷将这两个漏洞链接起来，以提高权限在受威胁的服务器上获得远程代码执行，从而导致部署web shell。

这家尚未发布漏洞修复程序的Windows制造商承认，自2022年8月以来，一个国家赞助的威胁行为体可能一直在有限的目标攻击中将漏洞武器化。

与此同时，该公司通过IIS管理器中的规则限制已知的攻击模式，提供了临时解决方案，以降低利用漏洞的风险。

然而，根据安全研究员Jang（@testnull）的说法，URL模式可以很容易地规避，高级漏洞分析师Will Dormann指出，区块缓解“不必要地精确，因此不充分”。

此后，微软修改了URL重写规则（也可以作为独立的PowerShell脚本提供），以考虑到这一点-

• 打开IIS管理器
• 选择默认网站
• 在功能视图中，单击URL重写
• In the Actions pane on the right-hand side, click Add Rule(s)…
• 选择请求阻止并单击确定
• 添加字符串“.*autodiscover\.json.*Powershell.*”（不包括引号）
• 在“使用”下选择正则表达式
• 在“如何阻止”下选择“中止请求”，然后单击“确定”
• 展开规则并选择具有以下模式的规则：.*autodiscover\.json.*Powershell.*然后单击“条件”下的“编辑”
• 将条件输入从｛URL｝更改为｛REQUEST_URI｝

目前还不清楚微软计划何时发布这两个漏洞的补丁，但有可能会在2022年10月11日下周的补丁周二更新中发布。