Reparatur-Tool für Hafnium-Angriffe auf Exchange, sichere CUs für Exchange 2016/2019

Das Script beseitigt zwar Angriffsflächen, aber um den Preis, dass die Funktionalität des Exchange-Servers darunter leidet. EOMT hingegen beseitigt mit einem URL-Rewrite nur die Schwachstelle CVE-2021-26855, was laut Microsoft keine funktionalen Einschränkungen mit sich bringt.

Darüber hinaus dient es nicht nur der Abwehr der Angriffe, die ursprünglich der Hacker-Gruppe Hafnium zugeschrieben wurden, sondern prüft auch, ob das System kompromittiert wurde und versucht, Änderungen wie etwa installierte Webshells oder andere Uploads zu beseitigen.

Im Einzelnen durchläuft EOMT folgende Schritte:

• Prüfung anhand der installierten Security-Updates und der Exchange-Version, ob der Server anfällig für Hafnium-Attacken ist
• Ist eine solche Verwundbarkeit gegeben, dann lädt das Script das IIS URL Rewrite Tool herunter und installiert es. Anschließend wendet es die Regel zum Umschreiben bestimmter URLs an.
• Im letzten Durchgang lädt es den Microsoft Safety Scanner herunter und startet einen Quick Scan. Falls der Server kompromittiert wurde, versucht es, diesen zu säubern. Dies soll den Anwendern wohl die Neuinstallation von Exchange ersparen, wobei aber unklar ist, wie effektiv EOMT in der Praxis ist.

Microsoft empfiehlt den Einsatz von EOMT besonders für solche Exchange-Server, auf denen die Sicherheits-Patches bis dato noch nicht eingespielt werden konnten.

Ausführung von EOMT auch nach Installation der Patches

Es sollte aber auch dann ausgeführt werden, wenn man Exchange durch ExchangeMitigations.ps1 oder die Sicherheits-Updates bereits geschützt hat. In diesem Fall kann es die Folgen eines Angriffs beseitigen, der bereits vorher stattgefunden haben könnte. Gibt es dafür einen begründeten Verdacht, dann empfiehlt Microsoft, den Safety Scanner eine vollständige Prüfung ausführen zu lassen.

EOMT kann die Funktions­einschränkungen, die durch die Maßnahmen von ExchangeMitigations.ps1 entstanden sind, nicht rückgängig machen. Dazu muss man das frühere PowerShell-Script selbst ausführen, etwa nach diesem Muster, um alle Anpassungen aufzuheben:

.\ExchangeMitigations.ps1 -WebSiteNames "Default Web Site" -RollbackAllMitigation

Insgesamt weist Microsoft deutlich darauf hin, dass EOMT nur als eine vorübergehende Lösung gedacht ist, um Exchange zu schützen, bis dieses auf ein unterstütztes CU aktualisiert wurde und die Patches gegen die Hafnium-Schwachstellen erhalten hat.

Neue CUs für Exchange 2016 und 2019

Parallel zum neuen Mitigation-Tool kündigte Microsoft neue vierteljährliche kumulative Updates für Exchange 2016 und 2019 an. Beide enthalten bereits die Patches für die kritischen Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065.

Bei Exchange 2019 handelt es sich um CU9, wogegen die Version 2016 bereits das CU20 erhält. Microsoft hatte noch im 3. Quartal letzten Jahres verlautbart, das CU19 im Dezember 2020 das letzte kumulative Update für diese Version sein werde.

Nun kündigte der Hersteller nicht nur CU20 an, sondern darüber hinaus noch ein weiteres solches Update für das nächste Quartal. In dieses sollen Fixes für alle Mängel einfließen, die Kunden vor dem Ende des Mainstream-Supports gemeldet haben.