Microsoft biedt organisaties en bedrijven een aangepaste mitigatie voor twee actief aangevallen zerodaylekken in Exchange Server. De vorige mitigatie bleek namelijk eenvoudig te omzeilen. Beveiligingsupdates voor de twee kwetsbaarheden zijn nog altijd niet beschikbaar.

Vorige week waarschuwde Microsoft voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden. Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests te detecteren en blokkeren.

Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft bleek echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker genaamd Jang. Slechts het aanpassen van één karakter was voldoende. Microsoft heeft de betreffende strings die onderdeel van de URL-rewrite zijn nu aangepast, waardoor misbruik weer moet worden voorkomen.

Voor organisaties die gebruikmaken van de Exchange Emergency Mitigation Service (EEMS) wordt de nieuwe URL-rewrite automatisch geïnstalleerd. In het geval van een actief aangevallen kwetsbaarheid kan via EEMS automatisch een mitigatie worden geïnstalleerd die de server tegen aanvallen moet beschermen. De Exchange Emergency Mitigation controleert elk uur of er nieuwe mitigaties beschikbaar zijn.

Microsoft benadrukt dat Exchange Emergency Mitigation bedoeld is als tijdelijke maatregel voor klanten totdat zij een beveiligingsupdate hebben kunnen installeren die de aangevallen kwetsbaarheid in kwestie verhelpt. EEMS is dan ook geen vervanging voor het installeren patches, aldus Microsoft. Wanneer de beveiligingsupdate voor de twee kwetsbaarheden verschijnt is nog altijd onbekend. Volgende week dinsdag 11 oktober is de vaste patchdinsdag van Microsoft.