Microsoft hat dieses Wochenende die URL Rewrite Regel, welche den erfolgreichen Angriff via ProxyNotShell verhindert, als Emergency Mitigation Regel ausgerollt. Damit sollten alle Exchange 2016 und Exchange 2019 Server mit dem Workaround ausgestattet sein. Dies gilt allerdings nur, wenn Exchange auf einem aktuellen Patchlevel ist und das Emergency Mitigation Feature aktiv ist. Für Exchange 2013 Server, muss die URL Rewrite Regel nach wie vor manuell konfiguriert werden. Für Exchange 20133 muss dazu zunächst auch das Modul „URL Rewrite“ installiert werden und die Regel konfiguriert werden.
Für Exchange 2013 findet sich hier das URL Rewrite Modul und ein Artikel wie die Regel konfiguriert wird:
Auf Exchange 2016 und Exchange 2019 Servern lässt sich mit folgendem Befehl prüfen, ob das Emergency Mitigation Feature aktiv ist:
Get-OrganizationConfig | fl MitigationsEnabled
Get-ExchangeServer | ft Name,MitigationsEnabled
Mit dem folgenden Befehl kann geprüft werden, ob die ProxyNotShell Mitigation auf den Exchange Servern angewendet wurde:
Get-ExchangeServer | Format-List Name,*Mitigations*
Sollte die Regel „M1.1“ nicht in der Liste der Applied Mitigation auftauchen, dann sollte einmal geprüft werden, ob der Exchange Server die folgende Webseite anzeigen kann:
Von dieser URL ruft der Dienst „MSExchangeMitigation“ jede Stunde die XML-Datei mit den entsprechenden Regeln ab. Zur ProxyNotShell (CVE-2022-41040) lautet der Name der Mitigation „M1“.
Falls die Regel nicht angewendet wurde, kann auch ein Blick in das MitigationService Logfile hilfreich sein:
Das Logfile findet sich unter im Pfad $Exinstall\Logging\MitigationService. Wer bereits schnell gehandelt hatte und eine eigene URL Rewrite Regel erstellt hatte, sollte die selbst erstellte Regel nun wieder löschen:
Die Regel, welche durch Microsoft veröffentlicht wurde, greift weiter, als die selbst erstellte Regel. Microsoft schaltet die URL Rewrite Regel auf die „Default Web Site“ und vererbt die Regel an alle Unterverzeichnisse. Die selbst erstellte Regel wurde nach den ersten Informationen zu dieser Zero-Day Schwachstelle nur auf dem Verzeichnis „Autodiscover“ angewendet.
Hier findet sich ein kleines Script, welches nach den IOC der ProxyNotShell Schwachstelle sucht:
Ein Sicherheitsupdate ist bisher nicht verfügbar, daher sollte sichergestellt werden, dass die URL Rewrite Regel konfiguriert ist.