Home Windows ServerMicrosoft Exchange Exchange Bug Zero Day, la mitigazione Microsoft può non bastare

Exchange Bug Zero Day, la mitigazione Microsoft può non bastare

da Alvise C.
0 commenti 3 minutes Leggi
A+A-
Reset

Qualche giorno fa abbiamo riportato di una vulnerabilità zero-day che affligge Microsoft Exchange, la quale è sfruttata in attacchi reali verso server on-premise.

Mitigazione Microsoft non sufficiente

Microsoft ha iniziato ad implementare una mitigazione distribuita attraverso uno script powershell che va a creare una regola di URL Rewrite nelle impostazioni ISS del server come indicato di seguito:

  • Aprire le impostazioni o gestione IIS nel server Exchange
  • Andare nei siti in uso e cercare Autodiscover
  • Aprire la voce Url Rewrite
  • Creare una nuova regola dando il blocco come Percorso URL, blocco richiesta che corrisponde al pattern ed inserire questo percorso:
    • .*autodiscover\.json.*\@.*Powershell.*
  • Impostarla come espressione regolare (da immagine)
rewrite

Ora impostare una condizione di applicazione della regola, impostando come pattern sempre “.*autodiscover\.json.*\@.*Powershell.*” e come input {REQUEST_URI}

condition if

Dare OK alla fine. Il problema di questa soluzione, secondo il ricercatore di sicurezza Jang, è che può essere bypassata. Spiega questo problema nel seguente tweet:

Secondo i suoi test il pattern da inserire per poter allargare lo spettro della mitigazione è il seguente:

.*autodiscover\.json.*Powershell.*

Tutto questo in attesa di una patch ufficiale da parte di Microsoft. La vulnerabilità, a quanto pare, non ha un punteggio di alta severità questo dovuto al fatto che un attaccante, per poter sfruttarla appieno, deve riuscire ad autenticarsi con credenziali amministrative o privilegiate.

Via: BP

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.