Vulnérabilités Du Serveur Exchange

Microsoft le vendredi divulgué il a apporté davantage d’améliorations à la méthode d’atténuation proposée comme moyen d’empêcher les tentatives d’exploitation contre les failles de sécurité non corrigées récemment révélées dans Exchange Server.

À cette fin, le géant de la technologie a révisé la règle de blocage dans IIS Manager de « .*autodiscover\.json.*Powershell.* » à « (?=.*autodiscover\.json)(?=.*powershell). »

La Cyber-Sécurité

La liste des étapes mises à jour pour ajouter la règle de réécriture d’URL est ci-dessous –

  • Ouvrir le gestionnaire IIS
  • Sélectionnez le site Web par défaut
  • Dans la vue des fonctionnalités, cliquez sur Réécriture d’URL
  • Dans le volet Actions sur le côté droit, cliquez sur Ajouter une ou plusieurs règles…
  • Sélectionnez Demander le blocage et cliquez sur OK
  • Ajoutez la chaîne « (?=.*autodiscover\.json)(?=.*powershell) » (hors guillemets)
  • Sélectionnez Expression régulière sous Utilisation
  • Sélectionnez Abandonner la demande sous Comment bloquer, puis cliquez sur OK
  • Développez la règle et sélectionnez la règle avec le modèle : (?=.*autodiscover\.json)(?=.*powershell) et cliquez sur Modifier sous Conditions
  • Modifiez l’entrée Condition de {URL} à {UrlDecode :{REQUEST_URI}}, puis cliquez sur OK

Alternativement, les utilisateurs peuvent obtenir les protections souhaitées en exécutant un outil d’atténuation sur site Exchange basé sur PowerShell (EOMTv2.ps1), qui a également été mis à jour pour prendre en compte le modèle d’URL susmentionné.

La Cyber-Sécurité

La problèmes activement exploitésappelé ProxyNotShell (CVE-2022-41040 et CVE-2022-41082), n’ont pas encore été traités par Microsoft, bien qu’avec le Patch Tuesday qui approche à grands pas, l’attente pourrait ne pas être longue.

Publicité

Une militarisation réussie des failles pourrait permettre à un attaquant authentifié d’enchaîner les deux vulnérabilités pour réaliser l’exécution de code à distance sur le serveur sous-jacent.

Le géant de la technologie a reconnu la semaine dernière que les lacunes avaient peut-être été exploitées par un seul acteur de la menace parrainé par l’État depuis août 2022 dans des attaques ciblées limitées visant moins de 10 organisations dans le monde.


Rate this post
Publicité
Article précédentKaiko Sareta Ankoku Heishi (30-Dai) La distribution principale de l’anime No Slow na Second Life révélée – News 24
Article suivantComment faire des Zucchini Puffs à Disney Dreamlight Valley
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici