Microsoft a mis à jour les mesures d’atténuation que les équipes de sécurité doivent prendre pour les vulnérabilités Exchange récemment révélées qui peuvent conduire à l’exécution de code à distance après qu’il a été signalé que la mesure précédente pouvait facilement être contournée.
Suivies sous les noms CVE-2022-41040 et CVE-2022-41082, les recommandations initiales pour les deux vulnérabilités appelées “ProxyNotShell” étaient insuffisantes et ont été contournées pour exploiter les bugs qui ont été divulgués pour la première fois par la société de sécurité vietnamienne GTSC.
Microsoft a reconnu plus tard les vulnérabilités, confirmant dans un article sur son blog de sécurité que Microsoft Exchange Server 2013, 2016 et 2019 ont été affectés par la contrefaçon de requête côté serveur (CVE-2022-41040) et l’exécution de code à distance lorsque PowerShell est accessible à l’attaquant (CVE-2022-41082).
En disant qu’un correctif était sur un “calendrier accéléré”, Microsoft a adopté les conseils initialement proposés par GTSC pour utiliser les règles de réécriture d’URL comme atténuation, mais des rapports ont rapidement suivi qu’ils étaient facilement contournés.
Microsoft a publié des directives supplémentaires le 4 octobre pour améliorer la règle de réécriture d’URL et a exhorté les clients à examiner et à appliquer l’une des options d’atténuation mises à jour :
- Option 1 : La règle EEMS est mise à jour et est automatiquement appliquée.
- Option 2 : le script EOMTv2 fourni précédemment a été mis à jour pour inclure l’amélioration de la réécriture d’URL.
- Option 3 : les instructions de la règle de réécriture d’URL ont été mises à jour. La chaîne des étapes 6 et 9 a été révisée. Les étapes 8, 9 et 10 ont des images mises à jour.