0

  • Votre panier est vide.

  • LOGIN

Microsoft publie des mesures d’atténuation améliorées pour les vulnérabilités non corrigées d’Exchange Server

Vulnérabilités du serveur Exchange

Certains articles de veille peuvent faire l'objet de traduction automatique.

Microsoft le vendredi divulgué il a apporté davantage d’améliorations à la méthode d’atténuation proposée comme moyen d’empêcher les tentatives d’exploitation contre les failles de sécurité non corrigées récemment révélées dans Exchange Server.

À cette fin, le géant de la technologie a révisé la règle de blocage dans IIS Manager de « .*autodiscover.json.*Powershell.* » à « (?=.*autodiscover.json)(?=.*powershell). »

La cyber-sécurité

La liste des étapes mises à jour pour ajouter la règle de réécriture d’URL est ci-dessous –

  • Ouvrir le gestionnaire IIS
  • Sélectionnez le site Web par défaut
  • Dans la vue des fonctionnalités, cliquez sur Réécriture d’URL
  • Dans le volet Actions sur le côté droit, cliquez sur Ajouter une ou plusieurs règles…
  • Sélectionnez Demander le blocage et cliquez sur OK
  • Ajoutez la chaîne « (?=.*autodiscover.json)(?=.*powershell) » (hors guillemets)
  • Sélectionnez Expression régulière sous Utilisation
  • Sélectionnez Abandonner la demande sous Comment bloquer, puis cliquez sur OK
  • Développez la règle et sélectionnez la règle avec le modèle : (?=.*autodiscover.json)(?=.*powershell) et cliquez sur Modifier sous Conditions
  • Modifiez l’entrée Condition de {URL} à {UrlDecode :{REQUEST_URI}}, puis cliquez sur OK

Alternativement, les utilisateurs peuvent obtenir les protections souhaitées en exécutant un outil d’atténuation sur site Exchange basé sur PowerShell (EOMTv2.ps1), qui a également été mis à jour pour prendre en compte le modèle d’URL susmentionné.

La cyber-sécurité

La problèmes activement exploitésappelé ProxyNotShell (CVE-2022-41040 et CVE-2022-41082), n’ont pas encore été traités par Microsoft, bien qu’avec le Patch Tuesday qui approche à grands pas, l’attente pourrait ne pas être longue.

Une militarisation réussie des failles pourrait permettre à un attaquant authentifié d’enchaîner les deux vulnérabilités pour réaliser l’exécution de code à distance sur le serveur sous-jacent.

Le géant de la technologie a reconnu la semaine dernière que les lacunes avaient peut-être été exploitées par un seul acteur de la menace parrainé par l’État depuis août 2022 dans des attaques ciblées limitées visant moins de 10 organisations dans le monde.

Voir aussi :

octobre 10, 2022

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)