Tags: Exchange, Sicherheit, Malware
Nach dem kürzlich veröffentlichten One-Click Mitigation Tool reicht Microsoft über den Defender einen weiteren Mechanismus nach, um verwundbare Exchange-Server kurzfristig abzusichern und zu bereinigen. Wie das PowerShell-Script richtet es sich an Firmen, welche die Security-Updates noch nicht installiert haben.
Als ein wesentliches Problem bei der Absicherung von Exchange gegen Hafnium-Angriffe erweist sich immer mehr, dass sich viele Systeme auf einem nicht mehr unterstützten Release-Stand befinden. Microsoft sah sich daher gezwungen, Updates auch für ältere CUs zu publizieren, für die es offiziell keinen Support mehr gibt. Die Patches reichen mittlerweile zurück bis CU8 von Exchange 2016 bzw. CU1 der Version 2019.
Offenbar haben es viele Anwender bis dato aber trotzdem nicht geschafft, damit ihre Exchange-Server zu schützen. Das mag am Fehlen von qualifiziertem Personal liegen oder daran, dass kleinere Systemhäuser dem plötzlichen Ansturm vieler Kunden nicht gewachsen waren.
Langsame Reaktion auch durch Microsoft
Microsoft selbst hat durch seine zögerliche Reaktion ebenfalls dazu beigetragen. Die von Hafnium eingesetzte Angriffskette, welche mehrere Schwachstellen hintereinander ausnutzt, wurde dem Hersteller bereits am 5. Januar gemeldet.
Dennoch dauert es zwei Monate, bis Microsoft dafür Patches bereitstellte. Anfang März gab es aber schon die ersten Exploits, so dass Anwender kaum noch Zeit für deren Installation blieb.
Die zunächst von Microsoft vorgeschlagenen Maßnahmen zur Abdichtung von nicht gepatchten Systemen, die sich dann auch durch das Script ExchangeMitigations.ps1 automatisieren ließen, gingen zu Lasten des Funktionsumfangs von Exchange.
EOMT-Funktionen in Windows Defender
Das letzte Woche bereitgestellte Script EOMT schließt mit einem URL-Rewrite nur die Schwachstelle CVE-2021-26855, ohne dass dadurch die Funktionalität des Systems leidet. Es soll zudem in der Lage sein, erfolgte Angriffe zu erkennen und deren Folgen zu beseitigen.
Allerdings erfordert auch dieses Tool das aktive Eingreifen eines Administrators, was offenbar nicht überall gewährleistet scheint. Microsoft hat daher die Routinen von EOMT in den Windows Defender übernommen, so dass dieser bei verwundbaren Systemen automatisch den URL-Rewrite implementiert und die Hinterlassenschaften erkannter Angriffe beseitigt.
Aktuelles Security Intelligence Update erforderlich
Als Hürde bleibt Anwendern dann nur noch, dass sie die neuesten Security Intelligence Updates installieren, erforderlich ist mindestens der Build 1.333.747.0. Wenn automatische Updates konfiguriert wurden, dann sollte sich damit ein vorläufiger Schutz ohne Zutun eines Admins erreichen lassen.
Allerdings wird auch dieser Mechanismus nicht alle Exchange-Server erreichen, dann viele Kunden schalten den Defender dort ab, weil sie durch diesen Virenscanner Performance-Einbußen befürchten.
Keine endgültige Lösung
Microsoft betont auch hier wie schon bei EOMT, dass es sich bei dieser automatischen Lösung nur um eine provisorische Maßnahme handelt, die ein Update auf ein aktuelles CU und das Installieren der Patches nicht ersetzt.
CU9 für Exchange 2019 und CU20 für Exchange 2016 enthalten bereits die Security-Updates.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Kritische Exchange-Schwachstellen: Patches für alte CUs, vorläufige Schutzmaßnahmen, Tool zum Erkennen erfolgreicher Angriffe
- Spam- und Virenschutz in Office 365 konfigurieren
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Microsoft ändert Empfehlung für Virenscanner-Ausschlüsse auf Exchange Server
- Exchange Server und IIS mit Windows Extended Protection (WEP) absichern
Weitere Links
1 Kommentar
Ein Virenscanner der den Webserver anders konfiguriert. Also das liest sich irgendwie gruselig.