Exchange Server için geçen hafta duyurulan Zero day paylaşılmıştı. Yayınlanan bu zero day için Microsoft henüz bir güncelleme yayınlamadı, onun yerine geçiçi bir çözüm için Regex paylaştı.
Yayınlanan Regex sonra ByPass edildi ve Regex için güncelleme geldi. (Microsoft kılavuzda henüz Regex güncellemesi yapmadı.)
İlk Regex: ".*autodiscover\.json.*\@.*Powershell.*"
Bulunan Zero day RCE kullanılmasına izin veriyor ve bulunan zero day Kritik olarak sınıflandırılmıştı.
Microsoft Zero Day için önerdiği geçiçi çözümü acil olarak herkesin uygulamasını önermişti.
Exchange Server’da Yeni Zero Day – Cengiz YILMAZ
Daha sonra manuel uygulanması gereken geçiçi çözümü otomatik hale getiren Exchange Şirket On-Premises Mitigation Tool (EOMTv2.ps1) dosyasını yayınladılar.
Exchange Server On-premises Mitigation Tool v2 – Cengiz YILMAZ
Yayınlanan bu script ilgili Regex’i otomatik olarak ilgili sunucu üzerinde yapmaktadır ve her sunucu için ayrı ayrı yapılması gerekiyor. (PowerShell bilginiz varsa bu script ile tüm sunuculara tek seferde yapabilirsiniz)
Ortamınızda Exchange Server Emergency Mitigation Service (EMMS) aktif çalışıyorsa eğer, Microsoft bu işlemi otomatik olarak uyguladı ve dağıttı. EMMS ile uygulanan kural aşağıdaki görseldeki (EEMS M1.1 Powershell) gibi gözükmektedir.
Geçiçi Çözümü uygulamadan önce aşağıdaki URL’yi Web Browser üzerine yapıştırırsanız, sizi bir LOGIN penceresi karşılayacaktır.
https://mail.domain.com/Autodiscover/autodiscover.json@PowerShell
Ortamınızda geçici çözümü uyguladınız, doğrulamak için yine aynı şekilde URL’yi çalıştırmanız gerekiyor. Geçiçi çözüm başarılı olduysa eğer sizi hata sayfası karşılayacaktır.
GTSC ekibi tarafından Regex aşağıdaki gibi güncellendi.
.autodiscover.json.Powershell.*
Microsoft tarafından yayımlanan EOMTv2 script ile regex aşağıdaki gibi güncellendi.
.autodiscover.json.Powershell.*
07.10.2022 tarihinde Microsoft, Exchange Server Zero Day zafiyeti için, EOMTv2 scripti üzerinden tekrar güncelleme sağladı ve Regex üçüncü defa güncellendi. Güncellenmiş Mitigation Regex’i aşağıdaki gibidir;
(?=.*autodiscover)(?=.*powershell)
Open IIS Manager
Select Default Web Site
In the Feature View, click URL Rewrite
In the Actions pane on the right-hand side, click Add Rule(s)
Select Request Blocking and click OK
Add the string "(?=.*autodiscover\.json)(?=.*powershell)" (excluding quotes)
Select Regular Expression under Using
Select Abort Request under How to block and then click OK
Expand the rule and select the rule with the pattern: (?=.*autodiscover\.json)(?=.*powershell) and click Edit under Conditions
Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK
