После того, как Microsoft опубликовала руководство по устранению двух недостатков удаленного выполнения кода, обнаруженных на прошлой неделе вьетнамской фирмой по безопасности GTSC, кажется, что меры, предложенные Microsoft, оказались не такими эффективными, как надеялась компания.
На выходных вьетнамский исследователь безопасности Ян предупредил: «Шаблон URL для обнаружения/предотвращения 0day Exchange, представленный в сообщении в блоге MSRC, можно легко обойти», предполагая, что вместо этого может работать следующий шаблон:. *autodiscover\.json. *Powershell. *
Уилл Дорманн, старший аналитик по уязвимостям в консалтинговой фирме Analygence, согласился с этим, отметив, что «@» в рекомендуемых Microsoft «. *autodiscover\.json. *\@. *Powershell. *» блокирует
Обновленное руководство Microsoft
Вскоре после этого GTSC обновил сообщение в своем блоге об уязвимостях, написав: «После получения информации от Джанга (@testanull) мы заметили, что регулярное выражение, используемое в правиле перезаписи, можно обойти», соглашаясь с предложенным Джангом исправлением и ссылаясь на видео. демонстрируя проблему.
Вчера Microsoft обновила собственное руководство, чтобы оно соответствовало совету Джанга, но не упомянуло Янга. «В разделе «Смягчение последствий» были внесены важные обновления, улучшающие правило перезаписи URL», — написала компания. Microsoft также призвала пользователей Exchange Server отключить удаленный доступ к PowerShell для пользователей без прав администратора.
Исследователь безопасности Кевин Бомонт, который назвал уязвимости «ProxyNotShell»
По словам старшего
Затронутые гибридные и локальные развертывания Exchange
В своем блоге Бомонт написал: «Если вы вручную применили это средство защиты, вам необходимо вручную *изменить* указанную выше строку защиты. Если вы запускали EOMTv2, вам нужно заново скачать скрипт и запустить его снова. На
Бомонт отдельно отметил, что, хотя Microsoft заявила в своем руководстве, что клиентам Exchange Online не нужно ничего делать, клиентам Exchange Online с гибридными развертываниями, включая как локальные, так и сетевые, нужно действовать.
Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) назвало обе уязвимости известными эксплуатируемыми уязвимостями.
Ознакомьтесь с лучшими инструментами управления исправлениями и управления уязвимостями
Мошенники выходят на GitHub
Мошенники быстро воспользовались громкостью новых недостатков, пытаясь «продать» их на GitHub в обмен на биткойны. В ответ исследователь безопасности Huntress Джон Хаммонд сообщил GitHub о нескольких мошенниках.
Эти мошенничества, кажется, являются растущей тенденцией. Исследователь безопасности Коли отметил: «Это было очень распространено с большими нулевыми днями в течение последнего года или около того. GitHub ничем не помог». Другой исследователь, Расти, добавил: «Последние несколько месяцев это стало популярным. Я помню самый первый, когда чувак приложил усилия, чтобы создать целую фальшивую POC на питоне, которая просто эхом «взламывала» выглядящий текст. Теперь они просто копируют/вставляют из блогов и делают это для всех. не замужем. CVE».