Exchange erhält mit CU11 bzw. CU22 einen automatischen Notfall-Service (Emergency Mitigation Service )

Die kumu­lativen Updates für Exchange bringen im September 2021 einen neuen Dienst, der beim Auf­treten von kritischen Schwach­stellen auto­matisch eine Not­lösung imple­mentiert, bis ein reguläres Sicherheits-Update ver­fügbar ist. Die jeweiligen Änderungen müssen Admins danach jedoch manuell zurück­setzen.

Nach der kritischen Sicherheitslücke CVE-2021-26855, die Anfang dieses Jahres für viele Firmen unangenehme Folgen hatte, zog Microsoft mehrere Konsequenzen, um ein solches Fiasko in der Zukunft zu vermeiden. Verantwortlich waren dabei nicht nur Admins, die ihre Systeme nicht aktuell hielten, sondern auch der Hersteller, der sich mit dem Patch lange Zeit ließ.

Mitigation Service als automatisches EOMT

Als unmittelbare Reaktion auf die HAFNIUM-Angriffe veröffentlichte Microsoft das Exchange On-premises Mitigation Tool (EOMT). In einem nächsten Schritt automatisierte Microsoft die Sofort­maßnahmen zur Abdichtung dieser Sicherheits­lücken durch ihre Integration in Windows Defender.

Der nun mit dem September-Update hinzukommende Emergency Mitigation Service (EM) implementiert einen allgemeinen Mechanismus für gegen Schwachstellen nach dem Vorbild des EOMT. Er wird aktiviert, ohne dass der Admin eingreifen muss.

Maßnahmen durch den EM-Dienst

Diese Sofort­maßnahmen dienen nur dem temporären Schutz, bis ein offizieller Patch verfügbar ist. Und nach den HAFNIUM-Erfahrungen richtet sich Microsoft mit dem neuen Service auch an solche Unternehmen, die nicht mehr unterstützte CUs einsetzen und daher die Sicherheits-Updates gar nicht installieren können.

Eine Abhilfe durch den Emergency Mitigation Service beschränkt sich grundsätzlich auf folgende Maßnahmen:

• Definition neuer Regeln für IIS-Rewrite, um bösartige HTTPS-Anfragen auszufiltern (ergänzend dazu brachten die CUs vom Juli 2021 die Inte­gration mit dem Antimalware Scan Interface).
• Abschalten eines Exchange-Dienstes
• Deaktivieren eines virtuellen Verzeichnisse oder eine App-Pools.

Nachdem das Umschreiben von URLs zu den möglichen Reaktionen des neuen Notfall­dienstes gehört, setzt er das Add-on IIS URL Rewrite voraus. Dieses ist für die Installation der künftigen CUs erforderlich, auch wenn man den EM gar nicht nutzen möchte.

Läuft Exchange 2016 auf Windows Server 2012 R2, dann muss man zusätzlich das Update KB2999226 für die Universal C Runtime einspielen.

Funktionsweise

Der Mitigation Service wird bei der Installation des CU automatisch auf jedem Mailbox-Server hinzugefügt, aber nicht auf einem Edge Transport Server. Er ist danach per Voreinstellung aktiv, um auf schlecht gewarteten Systemen von keiner Aktion des Admins abhängig zu sein.

Der Dienst für Sofort­maßnahmen gegen akute Sicherheits­lücken fragt im Stunden­rhythmus den Office Config Service (OCS) ab und sieht dort nach, ob eine neue Notlösung existiert. Diese liegt als eine oder mehrere Anweisungen im XML-Format vor, und sie wird nach dem Download umgesetzt.

Daher besteht eine weitere Voraus­setzung für den EM darin, dass der Exchange Server diese OCS-Adresse erreichen kann. Anwender, die EM nicht benötigen, etwa weil der Exchange Server gar keinen Zugriff auf OCS hat, können ihn per PowerShell deaktivieren.

Das Abschalten kann wahlweise auf der Ebene der Organisation oder einzelner Server erfolgen. Entscheidet man sich für die erste Variante, dann hilft es nichts, den EM-Dienst für bestimmte Server zu aktivieren, denn das bleibt ohne Wirkung.

Entfernen einer Notlösung

Das Abdichten von Sicherheits­lücken durch die temporären Maß­nahmen geht häufig mit Einbußen bei der Exchange-Funktionalität einher. Unabhängig davon besteht für sie kein Bedarf mehr, sobald es einen offiziellen Patch für das Problem gibt.

In diesem Fall muss ein Admin die Änderungen am System selbst rückgängig machen. Diese Aktion kann daran bestehen, einen deaktivierten Service wieder zu starten und ihn für die automatische Ausführung beim Hochfahren des Servers zu konfigurieren.

Im Fall von URL Rewrites verwendet Microsoft ein Namens­schema für seine Regeln, bei dem die Bezeichnungen mit dem Präfix "EEMS" beginnen. Dies erleichtert ihr Auffinden und Löschen.

Blockieren von Aktionen

Bei diesen Aufräum­arbeiten ist jedoch zu bedenken, dass der EM-Service stündlich das Vorliegen einer Schutzmaß­nahme abfragt und diese nach erfolgter Beseitigung dann sofort wieder anwenden würde. Daher muss man die betreffende Aktion erst blockieren, bevor man ihre Änderungen rückgängig macht. Dafür stellt Microsoft ein PowerShell-Interface zur Verfügung.

Diese und andere EM-bezogenen Aktivitäten schreibt der Service im Eventlog mit. Darüber hinaus legt er eine eigene Protokolldatei unterhalb des Exchange-Installations­ordners an, aus der man erkennen kann, welche Notlösungen angefordert und angewandt wurden.