Overslaan en naar de inhoud gaan

Bescherming tegen Exchange-zerodays gemakkelijk te omzeilen

De maatregelen die Microsoft heeft aangedragen om het gevaar twee zerodays in Exchange Server in te dammen, zijn gemakkelijk te omzeilen. Dat stellen beveiligingsonderzoekers. Microsoft heeft daarom zijn adviezen alweer aangepast.
Microsoft Exchange
© Microsoft
Microsoft

Microsoft en het NCSC waarschuwden vorige week voor twee zerodays die actief misbruikt worden door aanvallers. Het gaat om een Server-Side Request Forgery (SSRF)-fout - gevolgd onder CVE-2022-41040 - en een Remote Code Execution (RCE)-probleem, gevolgd onder CVE-2022-41082. De beide fouten worden samen gebruikt om eigen code op geïnfecteerde systemen uit te voeren.

Microsoft werkt nog aan patches voor de problemen en gaf daarom vast een eerste maatregel die bedrijven kunnen nemen om het gevaar in te perken. Het advies was om een specifieke URL te blokkeren op IIS Server, aan de hand van de URL Rewrite Module, schrijft Dark Reading. Door de string ".*autodiscover\.json.*\@.*Powershell.*" in te voeren, worden bekende aanvalspatronen voor de kwetsbaarheden geblokkeerd, aldus Microsoft. 

Beveiligingsonderzoekers - waaronder Kevin Beaumont en de Vietnamese Jang - ontdekten echter dat aanvallers die maatregel gemakkelijk kunnen omzeilen. Zij kunnen gemakkelijk om het URL-patroon heenkomen en beveiligingsonderzoeker Will Dormann noemt de maatregel op Twitter "onnodig precies en daarom niet voldoende". Zowel hij als het CERT Coördination Center bij Carnegie Mellon University adviseren om de '@' weg te laten uit de string. 

Advies aangepast

Na ruim een dag kwam Microsoft met een update van zijn advies, waarin de URL Rewrite aangepast is naar het advies van de onderzoekers. De voorgestelde string is nu dus "*autodiscover\.json.*Powershell.*". Microsoft benadrukt in zijn advies verder dat gebruikers alleen de vernieuwde adviezen moeten inzetten om zich tegen de kwetsbaarheden te beschermen. 

Daarnaast is de blokkeerregel aangepast en automatisch aangezet voor organisaties die de Exchange Emergency Mitigation Service aan hebben staan. Daarnaast is een script aangepast, dat organisaties kunnen gebruiken om de aangepaste maatregel in te zetten. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in