Der von Microsoft zunächst vorgeschlagene Workaround zum Entschärfen der Zero-Day-Lücke im Exchange-Server ließ sich leicht umgehen. Das Unternehmen hat jetzt einen korrigierten Workaround vorgelegt, der besser schützen soll. Administratoren sollten die angepasste Version zügig umsetzen.
Die ProxyNotShell-Zero-Day-Lücke in Exchange beschäftigt IT-Administratoren seit dem vergangenen Wochenende. Nachdem Microsoft einen Workaround angeboten hat, der in einer Request-Block-Regel in den AutoDiscover-Einstellungen bestand, haben IT-Sicherheitsforscher herausgefunden, dass sich die Regel .*autodiscover\.json.*\@.*Powershell.* einfach umgehen ließ. Das "@" mache die Regel zu speziell, erläuterte der IT-Forscher Will Dormann auf Twitter.
Jetzt hat Microsoft jedoch die eigene Anleitung mit vorgeschlagenen Handlungsmaßnahmen angepasst und dort die Regel korrigiert, und zwar genau in die vorgeschlagene Fassung .*autodiscover\.json.*Powershell.*. Die entsprechenden Passagen hat der Hersteller überarbeitet. Zudem haben die Entwickler von Microsoft das angebotene EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel mit der verbesserten Regel ausgestattet.
Auch die mittels Exchange Emergency Mitigation Service (EEMS) für Exchange 2016 und 2019 automatisch verteilte Regel hat Microsoft auf den aktuellen Stand gehoben und bereits erneut verteilt. Der Hersteller schreibt, dass Administratoren die neue Regel gegebenenfalls anlegen und im Anschluss die alte, umgehbare Regel wieder löschen sollten.
Quelle: heise
Die ProxyNotShell-Zero-Day-Lücke in Exchange beschäftigt IT-Administratoren seit dem vergangenen Wochenende. Nachdem Microsoft einen Workaround angeboten hat, der in einer Request-Block-Regel in den AutoDiscover-Einstellungen bestand, haben IT-Sicherheitsforscher herausgefunden, dass sich die Regel .*autodiscover\.json.*\@.*Powershell.* einfach umgehen ließ. Das "@" mache die Regel zu speziell, erläuterte der IT-Forscher Will Dormann auf Twitter.
Anpassung vorgeschlagen
Dormann schlug dort auch vor, die Regel anzupassen in .*autodiscover\.json.*Powershell.*. Eine Bestätigung von IT-Sicherheitsexperten, dass die angepasste Regel besser schütze, blieb zunächst jedoch aus.Jetzt hat Microsoft jedoch die eigene Anleitung mit vorgeschlagenen Handlungsmaßnahmen angepasst und dort die Regel korrigiert, und zwar genau in die vorgeschlagene Fassung .*autodiscover\.json.*Powershell.*. Die entsprechenden Passagen hat der Hersteller überarbeitet. Zudem haben die Entwickler von Microsoft das angebotene EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel mit der verbesserten Regel ausgestattet.
Auch die mittels Exchange Emergency Mitigation Service (EEMS) für Exchange 2016 und 2019 automatisch verteilte Regel hat Microsoft auf den aktuellen Stand gehoben und bereits erneut verteilt. Der Hersteller schreibt, dass Administratoren die neue Regel gegebenenfalls anlegen und im Anschluss die alte, umgehbare Regel wieder löschen sollten.
Quelle: heise