Exchange-Administratoren kommen nicht zur Ruhe: Nachdem ein erster Workaround für eine aktiv angegriffene Zero-Day-Schwachstelle in Exchange nicht korrekt geschützt und Microsoft ein aktualisiertes Regelwerk veröffentlicht hat, legt der Hersteller abermals eine aktualisierte Regel vor. Administratoren sollten die bisher angelegte Regel entfernen und eine neue einsetzen, rät Microsoft. In der aktualisierten Anleitung zu Gegenmaßnahmen von Microsoft erläutert das Unternehmen, dass die neu anzulegende Request-Block-Regel für Autodiscover die Zeichenkette .*autodiscover\.json.*Powershell.* erhalten soll. Administratoren sollen die Option „Regular Expression“ unter „Using“ auswählen sowie für „How to block“ auf „Abort Request“. Neu kommt jetzt hinzu, die neu angelegte Regel auszuwählen und auf „Edit“ unter „Conditions“ zu klicken. Im Feld „Condition Input“ sollen Administratoren die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern. Um besser vor den Angriffen auf die Schwachstelle zu schützen, sollten IT-Verantwortliche zudem den Remote-PowerShell-Zugriff für nicht-Administratoren deaktivieren. In der Aktualisierung weist Microsoft sehr deutlich darauf hin, dass Administratoren beide Maßnahmen, also das Anlegen der Regel und das Entziehen des Remote-PowerShell-Zugriffs, umsetzen sollen. Für Exchange-Installationen, in denen die Administratoren den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, hat Microsoft bereits die erneut aktualisierte Regel verteilt. Hier müssen Administratoren also nicht aktiv werden. Ohne diesen Dienst können Admins entweder das ebenfalls angepasste EOMTv2-Skript mit Versionsnummer 22.10.05.2304 zum automatisierten Eintragen der Regel nutzen oder die Regel gänzlich manuell anlegen. Es bleibt zu hoffen, dass das jetzige Regelwerk ohne weitere Änderungen gegen die aktiven Angriffe wirkt und dass Microsoft sehr bald ein Softwareupdate bereitstellen kann, das die Sicherheitslücken korrekt schließt.

Quelle: Heise