Bescherming tegen Exchange-zerodays gemakkelijk te omzeilen

Microsoft en het NCSC waarschuwden vorige week voor twee zerodays die actief misbruikt worden door aanvallers. Het gaat om een Server-Side Request Forgery (SSRF)-fout - gevolgd onder CVE-2022-41040 - en een Remote Code Execution (RCE)-probleem, gevolgd onder CVE-2022-41082. De beide fouten worden samen gebruikt om eigen code op geïnfecteerde systemen uit te voeren.

Microsoft werkt nog aan patches voor de problemen en gaf daarom vast een eerste maatregel die bedrijven kunnen nemen om het gevaar in te perken. Het advies was om een specifieke URL te blokkeren op IIS Server, aan de hand van de URL Rewrite Module, schrijft Dark Reading. Door de string ".*autodiscover\.json.*\@.*Powershell.*" in te voeren, worden bekende aanvalspatronen voor de kwetsbaarheden geblokkeerd, aldus Microsoft. 

Beveiligingsonderzoekers - waaronder Kevin Beaumont en de Vietnamese Jang - ontdekten echter dat aanvallers die maatregel gemakkelijk kunnen omzeilen. Zij kunnen gemakkelijk om het URL-patroon heenkomen en beveiligingsonderzoeker Will Dormann noemt de maatregel op Twitter "onnodig precies en daarom niet voldoende". Zowel hij als het CERT Coördination Center bij Carnegie Mellon University adviseren om de '@' weg te laten uit de string. 

Advies aangepast

Na ruim een dag kwam Microsoft met een update van zijn advies, waarin de URL Rewrite aangepast is naar het advies van de onderzoekers. De voorgestelde string is nu dus "*autodiscover\.json.*Powershell.*". Microsoft benadrukt in zijn advies verder dat gebruikers alleen de vernieuwde adviezen moeten inzetten om zich tegen de kwetsbaarheden te beschermen. 

Daarnaast is de blokkeerregel aangepast en automatisch aangezet voor organisaties die de Exchange Emergency Mitigation Service aan hebben staan. Daarnaast is een script aangepast, dat organisaties kunnen gebruiken om de aangepaste maatregel in te zetten.