Microsoft针对未调度的Exchange Server漏洞改进了缓解措施

微软周五披露，它对缓解方法进行了更多改进，该方法是为了防止针对Exchange Server中新披露的未修补安全漏洞的攻击尝试。

为此，这家科技巨头已将IIS Manager中的阻止规则从“.*autodiscover\.json.*Powershell.*”修改为“（？=.*autodiscover\.json）（？=*Powershell）”

添加URL重写规则的更新步骤列表如下-

• 打开IIS管理器
• 选择默认网站
• 在功能视图中，单击URL重写
• In the Actions pane on the right-hand side, click Add Rule(s)…
• 选择请求阻止并单击确定
• 添加字符串“（？=.*autodiscover\.json）（？=*.*powershell）”（不包括引号）
• 在“使用”下选择正则表达式
• 在“如何阻止”下选择“中止请求”，然后单击“确定”
• 展开规则并选择具有以下模式的规则：（？=.*autodiscover\.json）（？=.*powershell），然后单击“条件”下的“编辑”
• 将条件输入从｛URL｝更改为｛UrlDecode:｛REQUEST_URI｝｝，然后单击“确定”

或者，用户可以通过执行基于PowerShell的Exchange本地缓解工具（EOMTv2.ps1）来实现所需的保护，该工具也已更新，以考虑上述URL模式。

被积极利用的问题称为ProxyNotShell（CVE-22-41040和CVE-22-40082），微软尚未解决，尽管周二的补丁即将发布，等待的时间可能不会太长。

成功地将漏洞武器化可以使经过身份验证的攻击者将这两个漏洞链接起来，从而在底层服务器上实现远程代码执行。

这家科技巨头上周承认，自2022年8月以来，在针对全球不到10个组织的有限目标攻击中，一个国家赞助的威胁行为体可能滥用了这些缺点。