В Microsoft заявили, что корпорация улучшила защиту от эксплуатации недавно обнародованных уязвимостей нулевого дня в серверах Exchange. Полноценного патча, к сожалению, разработчики до сих пор не выпустили.
Таким образом, Microsoft пересмотрела правило блокировки в IIS Manager из “.*autodiscover\.json.*Powershell.*" в "(?=.*autodiscover\.json)(?=.*powershell)”.
Техногигант привел список шагов для тех администраторов, которые планируют добавить правило URL Rewrite:
- Открыть IIS Manager
- Выбрать «Веб-сайт по умолчанию» (Default Web Site)
- В Feature View нажать URL Rewrite
- В Actions кликнуть на Add Rule(s) (добавить правило)
- Выбрать Request Blocking (запрос блокировки) и нажать OK
- Добавить строку “(?=.*autodiscover\.json)(?=.*powershell)” (без кавычек)
- Выбрать регулярное выражение (Regular Expression) в разделе Using
- Выбрать «прерывать запрос» (Abort Request) в разделе «Как блокировать» и нажать OK
- Раскрыть правило и выбрать с паттерном (?=.*autodiscover\.json)(?=.*powershell). Нажать «Редактировать» под пунктом «Состояния»
- Изменить ввод с “{URL}” на “{UrlDecode:{REQUEST_URI}}” и нажать OK
В качестве альтернативы пользователи могут запустить специальный инструмент — EOMTv2.ps1, который Microsoft тоже обновила.
Напомним, что о незакрытых уязвимостях в Microsoft Exchange стало известно в конце прошлого месяца. Их отслеживают под номерами ZDI-CAN-18333 (8,8 балла по шкале CVSS) и ZDI-CAN-18802 (6,3 балла по шкале CVSS).
