De tijdelijke oplossing van Microsoft om misbruik van twee zerodaylekken in Exchange Server te voorkomen blijkt eenvoudig te omzeilen, zo laten beveiligingsonderzoekers op Twitter weten. Vorige week waarschuwde het techbedrijf voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden.
Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests (.*autodiscover\.json.*\@.*Powershell.*) te detecteren en blokkeren. Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft blijkt echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker genaamd Jang. Slechts het aanpassen van één karakter blijkt voldoende.
Zijn bevindingen zijn bevestigd door securitybedrijf GTSC, dat eerder details over de twee zerodaylekken openbaar maakte. Ter demonstratie publiceerde GTSC een video waarin de "mitigation bypass" wordt gedemonstreerd. Volgens Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit is het beter om als patroon ".*autodiscover\.json.*Powershell." in te stellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.