Reparatur-Tool für Hafnium-Angriffe auf Exchange, sichere CUs für Exchange 2016/2019

    Logo für ExchangeMicrosoft veröffent­lichte ein Tool, das Exchange-Server vorüber­gehend schützen kann, wenn die Security-Updates gegen die kürz­lich publizierten Schwach­stellen noch nicht installiert wurden. Außer­dem soll es die Hinter­lassen­schaften von Angriffen be­seitigen. CU9 und CU20 ent­halten bereits die letzten Patches.

    Das Exchange On-premises Mitigation Tool (EOMT) löst Exchange­Miti­gations.ps1 ab, das Microsoft in einer ersten Reaktion auf die Hafnium-Angriffe den Anwendern zur Verfügung gestellt hatte. Es war dazu gedacht, solche Exchange-Server zu schützen, auf denen die Security-Patches nicht kurzfristig installiert werden konnten, etwa wenn Firmen ein nicht mehr unterstütztes CU einsetzen.

    Schutz ohne Funktionseinschränkungen

    Das Script beseitigt zwar Angriffsflächen, aber um den Preis, dass die Funktionalität des Exchange-Servers darunter leidet. EOMT hingegen beseitigt mit einem URL-Rewrite nur die Schwachstelle CVE-2021-26855, was laut Microsoft keine funktionalen Einschränkungen mit sich bringt.

    Darüber hinaus dient es nicht nur der Abwehr der Angriffe, die ursprünglich der Hacker-Gruppe Hafnium zugeschrieben wurden, sondern prüft auch, ob das System kompromittiert wurde und versucht, Änderungen wie etwa installierte Webshells oder andere Uploads zu beseitigen.

    Im Einzelnen durchläuft EOMT folgende Schritte:

    • Prüfung anhand der installierten Security-Updates und der Exchange-Version, ob der Server anfällig für Hafnium-Attacken ist
    • Ist eine solche Verwundbarkeit gegeben, dann lädt das Script das IIS URL Rewrite Tool herunter und installiert es. Anschließend wendet es die Regel zum Umschreiben bestimmter URLs an.
    • Im letzten Durchgang lädt es den Microsoft Safety Scanner herunter und startet einen Quick Scan. Falls der Server kompromittiert wurde, versucht es, diesen zu säubern. Dies soll den Anwendern wohl die Neuinstallation von Exchange ersparen, wobei aber unklar ist, wie effektiv EOMT in der Praxis ist.

    Microsoft empfiehlt den Einsatz von EOMT besonders für solche Exchange-Server, auf denen die Sicherheits-Patches bis dato noch nicht eingespielt werden konnten.

    Das EOMT ist nur ein Zwischenschritt zu einem voll gepatchten Exchange.

    Ausführung von EOMT auch nach Installation der Patches

    Es sollte aber auch dann ausgeführt werden, wenn man Exchange durch ExchangeMitigations.ps1 oder die Sicherheits-Updates bereits geschützt hat. In diesem Fall kann es die Folgen eines Angriffs beseitigen, der bereits vorher stattgefunden haben könnte. Gibt es dafür einen begründeten Verdacht, dann empfiehlt Microsoft, den Safety Scanner eine vollständige Prüfung ausführen zu lassen.

    EOMT kann die Funktions­einschränkungen, die durch die Maßnahmen von ExchangeMitigations.ps1 entstanden sind, nicht rückgängig machen. Dazu muss man das frühere PowerShell-Script selbst ausführen, etwa nach diesem Muster, um alle Anpassungen aufzuheben:

    .\ExchangeMitigations.ps1 -WebSiteNames "Default Web Site" -RollbackAllMitigation

    Insgesamt weist Microsoft deutlich darauf hin, dass EOMT nur als eine vorübergehende Lösung gedacht ist, um Exchange zu schützen, bis dieses auf ein unterstütztes CU aktualisiert wurde und die Patches gegen die Hafnium-Schwachstellen erhalten hat.

    Neue CUs für Exchange 2016 und 2019

    Parallel zum neuen Mitigation-Tool kündigte Microsoft neue vierteljährliche kumulative Updates für Exchange 2016 und 2019 an. Beide enthalten bereits die Patches für die kritischen Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065.

    Bei Exchange 2019 handelt es sich um CU9, wogegen die Version 2016 bereits das CU20 erhält. Microsoft hatte noch im 3. Quartal letzten Jahres verlautbart, das CU19 im Dezember 2020 das letzte kumulative Update für diese Version sein werde.

    Nun kündigte der Hersteller nicht nur CU20 an, sondern darüber hinaus noch ein weiteres solches Update für das nächste Quartal. In dieses sollen Fixes für alle Mängel einfließen, die Kunden vor dem Ende des Mainstream-Supports gemeldet haben.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare