Zero Day, annoncé la semaine dernière pour Exchange Server, a été partagé. Microsoft n'a pas encore publié de mise à jour pour ce jour zéro, mais a plutôt partagé Regex pour une solution temporaire.
Après la publication de Regex, elle a été contournée et une mise à jour pour Regex a été publiée. (Microsoft n'a pas encore mis à jour le guide Regex.)
Première expression régulière : ".*autodiscover\.json.*\@.*Powershell.*"
Le jour zéro trouvé a permis l’utilisation du RCE et le jour zéro trouvé a été classé comme critique.
Microsoft a recommandé à tout le monde de mettre en œuvre immédiatement la solution temporaire proposée pour Zero Day.
Nouveau Zero Day dans Exchange Server – Cengiz YILMAZ
Ils ont ensuite publié le fichier Exchange Enterprise On-Premises Mitigation Tool (EOMTv2.ps1), qui automatise la solution temporaire qui devait être implémentée manuellement.
Outil d'atténuation sur site d'Exchange Server v2 – Cengiz YILMAZ
Ce script publié exécute automatiquement l'expression régulière appropriée sur le serveur concerné et doit être effectué séparément pour chaque serveur. (Si vous avez des connaissances PowerShell, vous pouvez le faire sur tous les serveurs en même temps avec ce script)
Si le service d'atténuation d'urgence d'Exchange Server (EMMS) est actif dans votre environnement, Microsoft a automatiquement implémenté et déployé ce processus. La règle appliquée avec EMMS ressemble à l'image ci-dessous (EEMS M1.1 Powershell).
Si vous collez l'URL suivante dans le navigateur Web avant d'appliquer la solution de contournement, vous serez accueilli par une fenêtre de CONNEXION.
https://mail.domain.com/Autodiscover/autodiscover.json@PowerShell
Vous avez implémenté la solution de contournement dans votre environnement, vous devez toujours exécuter l'URL de la même manière pour vérifier. Si la solution temporaire réussit, une page d’erreur s’affichera.
Regex mis à jour par l'équipe GTSC comme suit.
.découverte automatique.json.Powershell.*
Avec le script EOMTv2 publié par Microsoft, la regex a été mise à jour comme suit.
.découverte automatique.json.Powershell.*
Le 07.10.2022, Microsoft a de nouveau fourni une mise à jour pour la vulnérabilité Zero Day d'Exchange Server via le script EOMTv2, et Regex a été mis à jour pour la troisième fois. L'expression régulière d'atténuation mise à jour est la suivante :
(?=.*découverte automatique)(?=.*powershell)
Ouvrez le gestionnaire IIS Sélectionnez le site Web par défaut Dans la vue des fonctionnalités, cliquez sur Réécriture d'URL. Dans le volet Actions sur le côté droit, cliquez sur Ajouter une ou plusieurs règles. Sélectionnez Blocage des demandes et cliquez sur OK. Ajoutez la chaîne "(?=.*autodiscover\. json)(?=.*powershell)" (à l'exclusion des guillemets) Sélectionnez une expression régulière sous Utilisation de la demande d'abandon sous Comment bloquer, puis cliquez sur OK. Développez la règle et sélectionnez la règle avec le modèle : (?=.*autodiscover\.json )(?=.*powershell) et cliquez sur Modifier sous Conditions. Modifiez l'entrée Condition de {URL} à {UrlDecode:{REQUEST_URI}}, puis cliquez sur OK.