Weiterer Workaround von Microsoft für verwundbare Exchange-Server

Alle Exchange Server-Versionen von Microsoft sind über bisher ungepatchte Sicherheitslücken angreifbar. Ein Sicherheitspatch ist in der Entwicklung. Jetzt gibt es einen neuen Workaround, um Server abzusichern.

Eine seit November 2018 bekannte Schwachstelle ermöglicht einem Angreifer das Ausweiten von Privilegien. Ende Januar 2019 veröffentlichte ein Sicherheitsforscher einen Exploit. Schon zu diesem Zeitpunkt gab es erste Gegenmaßnahmen. Nun hat Microsoft einen Sicherheitshinweis veröffentlicht, in dem Admins Tipps finden, um Exchange-Server abzusichern.

Server absichern

Bei Systemen, die einem hohen Risiko durch mögliche Angriffe ausgesetzt sind, schlägt Microsoft bis zum Erscheinen von Updates einen Workaround vor. Um betroffene Server abzusichern, müssen Admins die verwundbaren Throttling Policy EWSMaxSubscriptions mit folgendem Powershell-Befehl definieren und deren Wert auf 0 zu setzen.

New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization

Dies verhindert Microsoft zufolge, dass der Exchange-Server EWS-Benachrichtigungen sendet und ein Angreifer die Schwachstelle ausnutzen kann. Client-Anwendungen wie Outlook für macOS oder Skype für Business, die auf EWS-Benachrichtigungen angewiesen sind, werden so aber wohl nicht mehr ordnungsgemäß funktionieren.

Update wahrscheinlich kommende Woche am Patchday

Microsoft arbeitet zurzeit an einem Update, welches die Schwachstelle schließen soll. Sobald dieses Update vorliegt und installiert wurde, kann man die obige Richtlinie durch folgenden Befehl zurücknehmen.

New-ThrottlingPolicy AllUsersEWSSubscriptionBlockPolicy (des)