Microsoft доработала защиту от эксплуатации 0-day в серверах Exchange

В Microsoft заявили, что корпорация улучшила защиту от эксплуатации недавно обнародованных уязвимостей нулевого дня в серверах Exchange. Полноценного патча, к сожалению, разработчики до сих пор не выпустили.

Таким образом, Microsoft пересмотрела правило блокировки в IIS Manager из “.*autodiscover\.json.*Powershell.*" в "(?=.*autodiscover\.json)(?=.*powershell)”.

Техногигант привел список шагов для тех администраторов, которые планируют добавить правило URL Rewrite:

• Открыть IIS Manager
• Выбрать «Веб-сайт по умолчанию» (Default Web Site)
• В Feature View нажать URL Rewrite
• В Actions кликнуть на Add Rule(s) (добавить правило)
• Выбрать Request Blocking (запрос блокировки) и нажать OK
• Добавить строку “(?=.*autodiscover\.json)(?=.*powershell)” (без кавычек)
• Выбрать регулярное выражение (Regular Expression) в разделе Using
• Выбрать «прерывать запрос» (Abort Request) в разделе «Как блокировать» и нажать OK
• Раскрыть правило и выбрать с паттерном (?=.*autodiscover\.json)(?=.*powershell). Нажать «Редактировать» под пунктом «Состояния»
• Изменить ввод с “{URL}” на “{UrlDecode:{REQUEST_URI}}” и нажать OK

В качестве альтернативы пользователи могут запустить специальный инструмент — EOMTv2.ps1, который Microsoft тоже обновила.

Напомним, что о незакрытых уязвимостях в Microsoft Exchange стало известно в конце прошлого месяца. Их отслеживают под номерами ZDI-CAN-18333 (8,8 балла по шкале CVSS) и ZDI-CAN-18802 (6,3 балла по шкале CVSS).