Microsoft hat dieses Wochenende die URL Rewrite Regel, welche den erfolgreichen Angriff via ProxyNotShell verhindert, als Emergency Mitigation Regel ausgerollt. Damit sollten alle Exchange 2016 und Exchange 2019 Server mit dem Workaround ausgestattet sein. Dies gilt allerdings nur, wenn Exchange auf einem aktuellen Patchlevel ist und das Emergency Mitigation Feature aktiv ist. Für Exchange 2013 Server, muss die URL Rewrite Regel nach wie vor manuell konfiguriert werden. Für Exchange 20133 muss dazu zunächst auch das Modul „URL Rewrite“ installiert werden und die Regel konfiguriert werden.
For Exchange 2013, you can find the URL Rewrite module and an article on how to configure the rule here:
On Exchange 2016 and Exchange 2019 servers, the following command can be used to check whether the emergency mitigation feature is active:
Get-OrganizationConfig | fl MitigationsEnabled
Get-ExchangeServer | ft Name,MitigationsEnabled
The following command can be used to check whether ProxyNotShell Mitigation has been applied to the Exchange servers:
Get-ExchangeServer | Format-List Name,*Mitigations*
Sollte die Regel „M1.1“ nicht in der Liste der Applied Mitigation auftauchen, dann sollte einmal geprüft werden, ob der Exchange Server die folgende Webseite anzeigen kann:
Von dieser URL ruft der Dienst „MSExchangeMitigation“ jede Stunde die XML-Datei mit den entsprechenden Regeln ab. Zur ProxyNotShell (CVE-2022-41040) lautet der Name der Mitigation „M1“.
If the rule has not been applied, a look at the MitigationService log file can also be helpful:
The log file can be found in the path $Exinstall\Logging\MitigationService. If you have already acted quickly and created your own URL rewrite rule, you should now delete the rule you created yourself:
Die Regel, welche durch Microsoft veröffentlicht wurde, greift weiter, als die selbst erstellte Regel. Microsoft schaltet die URL Rewrite Regel auf die „Default Web Site“ und vererbt die Regel an alle Unterverzeichnisse. Die selbst erstellte Regel wurde nach den ersten Informationen zu dieser Zero-Day Schwachstelle nur auf dem Verzeichnis „Autodiscover“ angewendet.
Here is a small script that searches for the IOC of the ProxyNotShell vulnerability:
A security update is not yet available, so make sure that the URL rewrite rule is configured.