Situatie
In prezent, Microsoft este constient de atacuri tintite limitate utilizand aceste doua vulnerabilitati. In aceste atacuri, CVE-2022-41040 poate permite unui atacator autentificat sa declanșeze de la distanta CVE-2022-41082. Trebuie luat in considerare faptul ca accesul autentificat la serverul de Exchange vulnerabil este necesar pentru a exploata cu succes aceasta vulnerabilitate, asa ca vom face un URL rewrite rule sa eliminam aceasta vulnerabilitate.
Solutie
Pasi de urmat
1. Deschidem IIS Manager
2. Select Default Web Site
3. In Feature View dam click pe URL Rewrite
4. In dreapta la Action apasam pe Add Rule
5. Apasam pe Request Blocking si apasam OK
6. La Pattern( URL Path ) scriem urmatoarea comanda: “(?=.*autodiscover)(?=.*powershell)”
7. Selectam la Using Regular Expressions
8. La How to block selectam Abort Request si dam OK
9. Dam expend la regula si dam dublu click pe regula creata
10. Schimbam Dondition input in: {UrlDecode:{REQUEST_URI}} si apasam pe OK.
Tip solutie
PermanentImpact colateral
nonePlan de restaurare in caz de nefunctionare
no need