Windows Defender schließt Exchange-Schwachstelle CVE-2021-26855 automatisch und räumt Folgen eines Angriffs auf

    Logo für ExchangeNach dem kürz­lich veröffent­lichten One-Click Mitigation Tool reicht Micro­soft über den Defen­der einen weiteren Mecha­nismus nach, um ver­wund­bare Exchange-Server kurz­fristig abzu­sichern und zu berei­nigen. Wie das Power­Shell-Script rich­tet es sich an Fir­men, welche die Security-Updates noch nicht instal­liert haben.

    Als ein wesentliches Problem bei der Absicherung von Exchange gegen Hafnium-Angriffe erweist sich immer mehr, dass sich viele Systeme auf einem nicht mehr unterstützten Release-Stand befinden. Microsoft sah sich daher gezwungen, Updates auch für ältere CUs zu publizieren, für die es offiziell keinen Support mehr gibt. Die Patches reichen mittlerweile zurück bis CU8 von Exchange 2016 bzw. CU1 der Version 2019.

    Offenbar haben es viele Anwender bis dato aber trotzdem nicht geschafft, damit ihre Exchange-Server zu schützen. Das mag am Fehlen von qualifiziertem Personal liegen oder daran, dass kleinere Systemhäuser dem plötzlichen Ansturm vieler Kunden nicht gewachsen waren.

    Langsame Reaktion auch durch Microsoft

    Microsoft selbst hat durch seine zögerliche Reaktion ebenfalls dazu beigetragen. Die von Hafnium eingesetzte Angriffskette, welche mehrere Schwachstellen hintereinander ausnutzt, wurde dem Hersteller bereits am 5. Januar gemeldet.

    Dennoch dauert es zwei Monate, bis Microsoft dafür Patches bereitstellte. Anfang März gab es aber schon die ersten Exploits, so dass Anwender kaum noch Zeit für deren Installation blieb.

    Die zunächst von Microsoft vorgeschlagenen Maßnahmen zur Abdichtung von nicht gepatchten Systemen, die sich dann auch durch das Script Exchange­Mitigations.ps1 automatisieren ließen, gingen zu Lasten des Funktions­umfangs von Exchange.

    EOMT-Funktionen in Windows Defender

    Das letzte Woche bereitgestellte Script EOMT schließt mit einem URL-Rewrite nur die Schwachstelle CVE-2021-26855, ohne dass dadurch die Funktionalität des Systems leidet. Es soll zudem in der Lage sein, erfolgte Angriffe zu erkennen und deren Folgen zu beseitigen.

    Allerdings erfordert auch dieses Tool das aktive Eingreifen eines Administrators, was offenbar nicht überall gewährleistet scheint. Microsoft hat daher die Routinen von EOMT in den Windows Defender übernommen, so dass dieser bei verwundbaren Systemen automatisch den URL-Rewrite imple­mentiert und die Hinter­lassen­schaften erkannter Angriffe beseitigt.

    Aktuelles Security Intelligence Update erforderlich

    Als Hürde bleibt Anwendern dann nur noch, dass sie die neuesten Security Intelligence Updates installieren, erforderlich ist mindestens der Build 1.333.747.0. Wenn automatische Updates konfiguriert wurden, dann sollte sich damit ein vorläufiger Schutz ohne Zutun eines Admins erreichen lassen.

    Der Defender setzt die gleichen Maßnahmen um wie das EOMT-Script. Er benötigt dazu das Intelligence Update 1.333.747.0

    Allerdings wird auch dieser Mecha­nismus nicht alle Exchange-Server erreichen, dann viele Kunden schalten den Defender dort ab, weil sie durch diesen Virenscanner Performance-Einbußen befürchten.

    Keine endgültige Lösung

    Microsoft betont auch hier wie schon bei EOMT, dass es sich bei dieser automatischen Lösung nur um eine provisorische Maßnahme handelt, die ein Update auf ein aktuelles CU und das Installieren der Patches nicht ersetzt.

    CU9 für Exchange 2019 und CU20 für Exchange 2016 enthalten bereits die Security-Updates.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    1 Kommentar

    Christian Wimmer sagt:
    30. März 2021 - 11:45

    Ein Virenscanner der den Webserver anders konfiguriert. Also das liest sich irgendwie gruselig.