Gün geçmiyor ki Exchange Zero-Day zafiyeti ile ilgili yeni bir haber gelmesin, gün geçmiyor ki yeni bir script ve düzenleme gelmesin.
Microsoft son olarak yeni bir güncellemeye giderek, IIS Yöneticisi’ndeki engelleme kuralını “.*autodiscover\.json.*Powershell.*” yerine “(?=.*autodiscover\.json)(?=.*powershell)” olarak revize etti.
Son güncellemeler sonrası aşağıdaki adımları tekrar kontrol etmeniz gerekiyor.
Open IIS Manager
Select Default Web Site
In the Feature View, click URL Rewrite
In the Actions pane on the right-hand side, click Add Rule(s)
Select Request Blocking and click OK
Add the string "(?=.*autodiscover\.json)(?=.*powershell)" (excluding quotes)
Select Regular Expression under Using
Select Abort Request under How to block and then click OK
Expand the rule and select the rule with the pattern: (?=.*autodiscover\.json)(?=.*powershell) and click Edit under Conditions
Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK
Alternatif olarak, kullanıcılar Exchange Azaltma Aracı ( EOMTv2.ps1 )kullanabilir. ProxyNotShell (CVE-2022-41040 ve CVE-2022-41082) olarak adlandırılan zafiyetın bu yayın yayınlanacak Patch Tuesday ile birlikte kapatılması bekleniyor.
Kaynak: thehackernews.com