Im Laufe des Jahres 2021 waren bereits mehrfach gravierende Sicherheitslücken im Exchange Server verantwortlich für Ausfälle oder sogar Einbrüche in Unternehmensnetzwerke.  

Warum sind gerade Exchange Server so stark von wiederkehrenden Sicherheitsvorfällen betroffen? 

Im Gegensatz zu Dateiservern oder anderen internen Diensten müssen Exchange Server meist auch aus dem Internet erreichbar sein. Gepusht wurde diese Anforderung dank Home-Office Anforderungen im Kontext der Pandemie. Durch diese öffentliche Erreichbarkeit ergibt sich eine wesentlich höhere Angriffsfläche für diese Server und machen diese damit für Angreifern zu einem besonders lukrativen Ziel. 

Hafnium – beispiellose Angriffswelle 

Im ersten Quartal 2021 sorgte der Hafnium-Hack für eine beispiellose Angriffswelle, in der das Bundesamt für Sicherheit in der Informationstechnik zum zweiten Mal in seiner Geschichte die Warnstufe 4 aussprach. Weltweit waren hunderttausende E-Mail-Server infiziert. Mit ein Grund dafür waren verspätet eingespielte Sicherheitspatches, die nach Bekanntwerden der als ProxyLogon bezeichnete Schwachstelle schlimmeres hätten verhindern können. 

Es sei hier noch eingebracht, dass es sich bei dieser Schwachstelle um eine sogenannte „Zero-Day-Schwachstelle“ handelte. Damit wird eine Sicherheitslücke bezeichnet, die vor dem Entdecken des Angriffs nicht bekannt war. Organisationen konnten erst mit Veröffentlichung der Sicherheitsupdates handeln. In vielen Fällen wurde erst nach einigen Tagen reagiert und unberechtigte Zugriffe konnten so nicht umgehend unterbunden werden. 

Weitere kritische Sicherheitslücken in 2021 

Im Verlauf des Jahres wurden mehrere Sicherheitsupdates veröffentlicht, die weitere teils kritische Sicherheitslücken schlossen. Auch hier war es maßgeblich die Updates kurzfristig einzuspielen, um die bekannten Risiken auszumerzen. Schnelle Reaktionszeiten bei der Installation von Updates wurden von vielen Unternehmen nicht umgesetzt. Abfragen gegenüber aus dem Internet erreichbaren Exchange Servern zeigten den veralteten Patchstand auf.  

Exchange Emergency Mitigation 

Um diese Risiken abzuschwächen, hat Microsoft mit dem kumulativen Update (CU) 11 für Exchange 2019, bzw. dem CU 22 für Exchange 2016 eine Funktion zum Exchange Server hinzugefügt: die Exchange Emergency Mitigation. (Voraussetzung zur Installation dieses CUs ist das IIS URL Rewrite Modul.)  

Damit wird stündlich geprüft, ob ein neues Regelwerk für die Schadensbegrenzung einer Schwachstelle existiert. Bei der Prüfung wird ein signiertes XML Dokument von „Office Config Service (OCS)“-Servern von Microsoft abgerufen. In der XML-Datei finden sich je nach Schwachstelle bestimmte Aktionen bzw. Konfigurationen, welche von den Exchange Servern automatisch abgearbeitet werden, um eine Sicherheitslücke einzuschränken, bis entsprechende Updates durch Microsoft zur Verfügung gestellt werden. 

Exchange Emergency Mitigation kann damit Angriffswege einschränken und per Workaround bei neuen Sicherheitslücken selbstständig reagieren. Die Installation von nachkommenden Updates bleibt natürlich weiterhin erforderlich. 

Bewusstsein über das neue Feature 

Bei all den Vorteilen gilt es natürlich zu bedenken, dass hier über einen automatischen Dienst Konfigurationen abgefragt und ohne Zutun eingespielt werden können. Wie bei jedem Anpassungsvorgang können auch hier Fehler auftreten, die eine ungeplante Downtime mit sich bringen. 

Organisationen sollten sich bewusst sein, dass diese Funktion mit dem neusten CU standardmäßig aktiv wird. Das Feature kann aber unternehmensweit bzw. auf einzelnen Exchange Servern deaktiviert werden. Über das PowerShell Script „Get-Mitigations.ps1“ können die verfügbaren Workarounds angezeigt und gegebenenfalls auch blockiert werden. 

Sicherer Betrieb auch über das letzte CU 

Wie üblich wird neben dem aktuellen CU auch das letzte CU seitens Microsofts noch mit Sicherheitsupdates versorgt. So kann auch mit CU 10 (für Exchange Server 2019) und CU 21 (für Exchange Server 2016) weiterhin ein sicherer Betrieb gewährleistet werden – Sicherheitsupdates miteingeschlossen. Welche Patches für die eigene Umgebung verfügbar sind und ob man auf dem aktuellsten Stand ist kann man hier (Exchange Build Nummern) prüfen. 

Abwägung zum Einsatz von Exchange Emergency Mitigation Tool 

Im Rahmen der Supportarbeiten zur Behebung von Schwachstellen bzw. zur Analyse der Angriffe wurde vielen Organisationen die Wichtigkeit des Mailservers wieder in das Bewusstsein gebracht. Ob Sie das Tool fortan einsetzen, ist eine grundsätzliche Entscheidung, die Sie individuell für Ihre Organisation treffen sollten.  

Wir beraten Sie gerne bei der Abwägung zum Einsatz von Exchange Emergency Mitigation.