Die so genannte ProxyNotShell-Zero-Day-Lücke ist bereits seit dem Wochenende gemeldet und stellt eine Bedrohung für den Exchange-Server dar. Ein detaillierter Bericht wurde von der in Vietnam ansässigen Sicherheitsfirma GTSC veröffentlicht.
Microsoft hat hierzu relativ schnell einen Workaround bereitgestellt, der sich nun aber als leicht umgehbar herausgestellt hat. So sollte in den AutoDiscover-Einstellungen die Regel „.*autodiscover\.json.*\@.*Powershell.*“ eingestellt werden. Nun haben Sicherheitsexperten allerdings herausgefunden, dass sich dies zu einfach umgehen lässt.
Nun hat das Microsoft Security Response Center einen neuen Bericht und eine Anleitung veröffentlicht, wie sich dieses Problem beheben lässt. So muss nun die AutoDiscover-Regel angepasst werden. Konkret wird die Abfrage um das *\@. reduziert, um somit nicht zu spezifisch zu sein. Die neue Fassung lautet also „.*autodiscover\.json. *Powershell.*“ . Zudem haben die Entwickler von Microsoft das angebotene EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel mit der modifizierten Regel ausgestattet. Auch die vom Exchange Emergency Mitigation Service (EEMS) für Exchange 2016 und 2019 automatisch verteilte Regel hat Microsoft auf den aktuellen Stand gebracht und neu verteilt.
Einen echten Patch gibt es bisher für dieses Problem noch nicht. Somit ist diese Möglichkeit aktuell der beste Weg um die Zero-Day-Lücke zu entschärfen.
Update: Der Workaround wurde am Wochenende erneut aktualisiert. Die derzeit aktuelle Regel vom lautet jetzt (?=.*autodiscover)(?=.*powershell)
0 Kommentare