Microsoft komt opnieuw met aanpassing in mitigatie Exchange-zerodaylekken

[Captain Kirk]

Organisaties die zichzelf willen beschermen tegen twee actief aangevallen zerodaylekken in Exchange Server en de tijdelijke mitigatiemaatregel van Microsoft hebben doorgevoerd moeten die opnieuw aanpassen, zo laat het techbedrijf weten. Een beveiligingsupdate is nog altijd niet beschikbaar gemaakt en zal naar verwachting morgenavond verschijnen.

Eind september waarschuwde Microsoft voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden. Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests te detecteren en blokkeren.

Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft bleek echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker. Slechts het aanpassen van één karakter was voldoende. Microsoft kwam op 4 oktober met een aangepaste URL-rewrite. Op 7 oktober werd deze aangepaste URL-rewrite zelf aangepast, gevolgd door een nieuwe correctie op 8 oktober. Microsoft roept organisaties op om de laatste URL-rewrite te gebruiken.

Een beveiligingsupdate is nog altijd niet door Microsoft beschikbaar gemaakt. De softwarefabrikant kan bij actief aangevallen kwetsbaarheden overgegaan tot een "out-of-band" update, waarbij de patch buiten de vaste patchdinsdag beschikbaar wordt gemaakt. Aangezien een dergelijke patch nog altijd niet is verschenen zal de betreffende update voor de twee Exchange-zerodaylekken zeer waarschijnlijk tijdens de patchdinsdag van oktober verschijnen, waarvan de patches vanaf morgenavond om 19.00 uur beschikbaar zijn.

 

bron: https://www.security.nl