TI - Update 10.10.2022: Zero Day RCE Schwachstelle in Microsoft Exchange On Premise Servern

Beschreibung:

Microsoft hat die Regex zur Mitigierung der neusten Exchange Schwachstellen ein weiteres Mal angepasst, da die bisherigen Workarounds umgangen werden können. ALTE REGELN: ".*autodiscover\.json.*\@.*Powershell.*" UND ".*autodiscover\.json.*Powershell.*" NEUE REGEL: "(?=.*autodiscover)(?=.*powershell)" Weiters muss der "Condition Input" von "{URL}" auf "{UrlDecode:{REQUEST_URI}}" geändert werden. Wenn Exchange Emergency Mitigation Service (EEMS) aktiviert ist, wurde die Regel bereits aktualisiert.

Eine genaue Anleitung finden Sie hier:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Zusätzlich wird empfohlen, den Remote Powershell Zugriff für Nicht-Administratoren zu deaktivieren. (Anleitung: https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps)

Weiterführende Links:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/  https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps