Es mag einigen wie Slapstick vorkommen, aber nach mehreren Anläufen hat Microsoft die Regel für den Workaround für die Zero-Day-Sicherheitslücken im Exchange-Server noch mal aktualisiert. Am Wochenende kamen die IT-Experten des Herstellers zu einer angepassten Regel, die Administratoren dafür in den Einstellungen der Mailsoftware eintragen sollen.
Erläuterungen, was
Vor eineinhalb Wochen wurden
Für Administratoren bleibt nur weiter zu hoffen, dass das jetzt gültige Regelwerk bis zur Verfügbarkeit eines Sicherheitsflickens und dessen Anwendung hält. Es ist derzeit unklar, ob die Entwickler bis heute Abend zu Microsofts Patchday ein Update zum Schließen der Sicherheitslücke fertiggestellt haben.
Quelle: heise
Aktueller Stand der Regel
Die derzeit aktuelle Regel vom Wochenende lautet jetzt (?=.*autodiscover)(?=.*powershell). Administratoren sollen das als Request-Block-Regel für Autodiscover anlegen und die Option "Regular Expression" unter "Using" auswählen. Für "How to block" sollen sie die Einstellung auf "Abort Request" setzen. Schließlich sollen Admins die neu angelegte Regel auswählen und auf "Edit" unter "Conditions" klicken. Im Feld "Condition Input" sollen sie die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.Erläuterungen, was
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
nicht ausreichend oder falsch war, liefert
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zum Workaround der Zero-Day-Lücke in Exchange nicht. Exchange-Administratoren sollten jedoch die bisher eingesetzte Regel löschen und durch die neue ersetzen. Zudem sollten IT-Verantwortliche den Remote-PowerShell-Zugriff für Nicht-Administratoren deaktivieren. Mit dieser Kombination sollten Angriffe auf die Sicherheitslücken ins Leere laufen.Vor eineinhalb Wochen wurden
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
bekannt. Da es zum Schließen der Schwachstellen bis jetzt keine Patches vom Hersteller gibt, sprechen IT-Sicherheitsexperten von sogenannten Zero-Day-Lücken: Administratoren haben keine Vorlaufzeit, sich vor Angriffen darauf zu schützen. Dass Microsoft eine vorgeschlagene Gegenmaßnahme so oft aktualisieren muss, ist dabei äußerst ungewöhnlich.Für Administratoren bleibt nur weiter zu hoffen, dass das jetzt gültige Regelwerk bis zur Verfügbarkeit eines Sicherheitsflickens und dessen Anwendung hält. Es ist derzeit unklar, ob die Entwickler bis heute Abend zu Microsofts Patchday ein Update zum Schließen der Sicherheitslücke fertiggestellt haben.
Quelle: heise
