Microsoft ha publicado unas medidas para mitigar los ataques zero-days revelados recientemente para explotar en Microsoft Exchange Server.
Las dos vulnerabilidades publicadas con anterioridad, están identificadas como CVE-2022-41040 y CVE-2022-41082, las cuales reciben el nombre en clave de ProxyNotShell debido a las similitudes con otra vulnerabilidad llamada ProxyShell, que fue solucionada el año pasado.
Estos ataques abusan de una fallo que permite conseguir la ejecución remota de código en servidores comprometidos con privilegios de administrador, lo que permite el despliegue de web shells.
Microsoft aún no ha publicado una solución, se ha reconocido que ha sido explotado en un agente desde agosto de 2022 mediante ataques selectivos limitados. Mientras tanto, la compañía ha puesto a disposición soluciones temporales para reducir el riesgo de explotación restringiendo el vector de ataque con el uso de una regla en la administración del IIS.
Sin embargo la primera mitigación que publicaron puede ser fácilmente burlada, según el investigador de seguridad Jang. Estas mitigaciones son innecesariamente precisas, y por lo tanto insuficientes.
Pasos a seguir para mitigar los ataques
- Abrir el administrador de IIS.
- Seleccionar el sitio web predeterminado.
- En el Actions panel de la derecha, haga clic en Add Rule(s).
- Seleccione Request Blocking y haga clic en OK.
- Añada la cadena «.autodiscover.json.Powershell.*» (sin las comillas).
- Seleccione la Regular Expression en uso.
- Seleccione Abort Request en How to block y en OK.
- Expanda la regla y seleccione la regla con la cadena: .*autodiscover\.json.*Powershell.* y haga click en Edit under Conditions.
- Cambie la Condition input de {URL} en {UrlDecode:{REQUEST_URI}} y haga click en OK.
Todavía no está claro cuando Microsoft lanzará un parche para las dos vulnerabilidades, pero es posible que se envíen como parte de las actualizaciones del martes de parches de la próxima semana.