Tags: Exchange, Sicherheit, Patch-Management
Die kumulativen Updates für Exchange bringen im September 2021 einen neuen Dienst, der beim Auftreten von kritischen Schwachstellen automatisch eine Notlösung implementiert, bis ein reguläres Sicherheits-Update verfügbar ist. Die jeweiligen Änderungen müssen Admins danach jedoch manuell zurücksetzen.
Nach der kritischen Sicherheitslücke CVE-2021-26855, die Anfang dieses Jahres für viele Firmen unangenehme Folgen hatte, zog Microsoft mehrere Konsequenzen, um ein solches Fiasko in der Zukunft zu vermeiden. Verantwortlich waren dabei nicht nur Admins, die ihre Systeme nicht aktuell hielten, sondern auch der Hersteller, der sich mit dem Patch lange Zeit ließ.
Mitigation Service als automatisches EOMT
Als unmittelbare Reaktion auf die HAFNIUM-Angriffe veröffentlichte Microsoft das Exchange On-premises Mitigation Tool (EOMT). In einem nächsten Schritt automatisierte Microsoft die Sofortmaßnahmen zur Abdichtung dieser Sicherheitslücken durch ihre Integration in Windows Defender.
Der nun mit dem September-Update hinzukommende Emergency Mitigation Service (EM) implementiert einen allgemeinen Mechanismus für gegen Schwachstellen nach dem Vorbild des EOMT. Er wird aktiviert, ohne dass der Admin eingreifen muss.
Maßnahmen durch den EM-Dienst
Diese Sofortmaßnahmen dienen nur dem temporären Schutz, bis ein offizieller Patch verfügbar ist. Und nach den HAFNIUM-Erfahrungen richtet sich Microsoft mit dem neuen Service auch an solche Unternehmen, die nicht mehr unterstützte CUs einsetzen und daher die Sicherheits-Updates gar nicht installieren können.
Eine Abhilfe durch den Emergency Mitigation Service beschränkt sich grundsätzlich auf folgende Maßnahmen:
- Definition neuer Regeln für IIS-Rewrite, um bösartige HTTPS-Anfragen auszufiltern (ergänzend dazu brachten die CUs vom Juli 2021 die Integration mit dem Antimalware Scan Interface).
- Abschalten eines Exchange-Dienstes
- Deaktivieren eines virtuellen Verzeichnisse oder eine App-Pools.
Nachdem das Umschreiben von URLs zu den möglichen Reaktionen des neuen Notfalldienstes gehört, setzt er das Add-on IIS URL Rewrite voraus. Dieses ist für die Installation der künftigen CUs erforderlich, auch wenn man den EM gar nicht nutzen möchte.
Läuft Exchange 2016 auf Windows Server 2012 R2, dann muss man zusätzlich das Update KB2999226 für die Universal C Runtime einspielen.
Funktionsweise
Der Mitigation Service wird bei der Installation des CU automatisch auf jedem Mailbox-Server hinzugefügt, aber nicht auf einem Edge Transport Server. Er ist danach per Voreinstellung aktiv, um auf schlecht gewarteten Systemen von keiner Aktion des Admins abhängig zu sein.
Der Dienst für Sofortmaßnahmen gegen akute Sicherheitslücken fragt im Stundenrhythmus den Office Config Service (OCS) ab und sieht dort nach, ob eine neue Notlösung existiert. Diese liegt als eine oder mehrere Anweisungen im XML-Format vor, und sie wird nach dem Download umgesetzt.
Daher besteht eine weitere Voraussetzung für den EM darin, dass der Exchange Server diese OCS-Adresse erreichen kann. Anwender, die EM nicht benötigen, etwa weil der Exchange Server gar keinen Zugriff auf OCS hat, können ihn per PowerShell deaktivieren.
Das Abschalten kann wahlweise auf der Ebene der Organisation oder einzelner Server erfolgen. Entscheidet man sich für die erste Variante, dann hilft es nichts, den EM-Dienst für bestimmte Server zu aktivieren, denn das bleibt ohne Wirkung.
Entfernen einer Notlösung
Das Abdichten von Sicherheitslücken durch die temporären Maßnahmen geht häufig mit Einbußen bei der Exchange-Funktionalität einher. Unabhängig davon besteht für sie kein Bedarf mehr, sobald es einen offiziellen Patch für das Problem gibt.
In diesem Fall muss ein Admin die Änderungen am System selbst rückgängig machen. Diese Aktion kann daran bestehen, einen deaktivierten Service wieder zu starten und ihn für die automatische Ausführung beim Hochfahren des Servers zu konfigurieren.
Im Fall von URL Rewrites verwendet Microsoft ein Namensschema für seine Regeln, bei dem die Bezeichnungen mit dem Präfix "EEMS" beginnen. Dies erleichtert ihr Auffinden und Löschen.
Blockieren von Aktionen
Bei diesen Aufräumarbeiten ist jedoch zu bedenken, dass der EM-Service stündlich das Vorliegen einer Schutzmaßnahme abfragt und diese nach erfolgter Beseitigung dann sofort wieder anwenden würde. Daher muss man die betreffende Aktion erst blockieren, bevor man ihre Änderungen rückgängig macht. Dafür stellt Microsoft ein PowerShell-Interface zur Verfügung.
Diese und andere EM-bezogenen Aktivitäten schreibt der Service im Eventlog mit. Darüber hinaus legt er eine eigene Protokolldatei unterhalb des Exchange-Installationsordners an, aus der man erkennen kann, welche Notlösungen angefordert und angewandt wurden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft ersetzt fehlerhafte Exchange Security Updates (SUs) für August
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Microsoft veröffentlicht neue Security-Updates für Exchange
- Reparatur-Tool für Hafnium-Angriffe auf Exchange, sichere CUs für Exchange 2016/2019
- Exchange 2019 CU14 verschiebt sich auf 2024, danach nur mehr ein CU
Weitere Links
2 Kommentare
Vielen Dank für die gute Zusammenfassung!
Weiss man schon wie der Service die o.g. URL abruft? Winhttp, WinInet Hat der Dienst einen eigenen Proxyserver Eintrag? Ähnlich Antimalware Agent?
Greetz
Nachtrag:
Wer einen InternetProxy einsetzt, benötigt für das Abrufen der OCS URL (officeclient.microsoft.com/* Port 443) den Eintrag über:
Set-ExchangeServer -Identity -InternetWebProxy
Ob ein erfolgreicher Abruf klappt kann mittels Powershell Script (Exchange Script Verzeichnis) getestet werden.
Test-MitigationServiceConnectivity.ps1