Exchange Emergency Mitigation (EM) – ein sicherer Grund mehr JETZT auf Exchange Server 2016 / 2019 umzusteigen
Der Security-Gau im Frühjahr 2021, bei dem unzählige aus dem Internet erreichbaren Exchange-Server angegriffen worden waren, betraf hunderttausende Firmen.
Ein neuer Dienst von Microsoft, die Exchange Emergency Mitigation (EM), soll das in Zukunft verhindern. Die Funktionsweise von EM ist einfach, aber effektiv: Stündlich überprüfen die Exchange Server, ob ein neues Regelwerk für die Schadenbegrenzung einer Schwachstelle vorliegt. Dafür wird im Stundentakt ein signiertes XML-Dokument von „Office Config Service (OCS)“- Servern von Microsoft abgerufen. In der XML-Datei befinden sich – je nach Schwachstelle – bestimmte Aktionen oder Konfigurationen, welche von den Exchange Servern automatisch angewendet werden, um eine Schwachstelle abzumildern – bis dann entsprechende Updates installiert wurden.
Kurz: Die Exchange Emergency Mitigation blockiert Angriffswege und schützt so vor dem Ausnutzen einer Sicherheitslücke. Natürlich bleibt aber die eigentliche Installation der Updates weiterhin erforderlich.
Voraussetzungen für Exchange Emergency Mitigation (EM):
Verfügbar ist Exchange Emergency Mitigation (EM) ab CU 11 für Exchange 2019 und CU 22 für Exchange 2016. Neben den akutellen CUs für Exchange Server 2016 / 2019 benötigt Exchange Emergency Mitigation das IIS URL Rewrite Modul.
Emergency Mitigation verhindert potentielle Angriffe wie folgt:
- Anwenden von IIS URL Rewrite Regeln, um schädliche HTTP-Anfragen zu blockieren. Mit einem entsprechenden Regelwerk kann sehr effektiv auf Angriffe reagiert werden, da die meisten Exchange-Protokolle über den IIS-Webserver bereitgestellt werden.
- Deaktivieren von angreifbaren Exchange Diensten, um so vor der Ausnutzung einer Schwachstelle zu schützen.
- Deaktivieren von IIS Application Pools. Anmerkung: Letztere Punkte können Einfluss auf die Verfügbarkeit von bestimmten Exchange Funktionen haben.
Unser Tipp: Noch in diesem Jahr auf Exchange Server 2016 / 2019 umsteigen