ProxyShell & Co.: Microsoft gibt Tipps, um Exchange Server abzusichern

Vor dem Hintergrund mehrerer kritischer Sicherheitslücken und Attacken auf Exchange Server zeigt Microsoft, welche Updates Admins dringend installieren müssen.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen

(Bild: heise online)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Microsoft Exchange Server sind nach wie vor sehr beliebte Ziele von Angreifern. Nun führt Microsoft aus, mit welchen Updates Admins Exchange Server aktualisieren müssen, um sie effektiver abzusichern.

Nach einer Kompromittierung haben Angreifer Zugriff auf viele interne Firmendaten wie Adressbücher und Mails und können sich sogar oft im Active Directory weiter in Firmennetzwerken ausbreiten.

2021 geschah das etwa im großen Stil über das Ausnutzen der ProxyShell-Sicherheitslücken. Im selben Jahr warnte das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund vor Zombie-Exchange-Servern, die sich nicht mehr im Support befinden.

In der jüngsten Vergangenheit sorgten zehntausende ungepatchte Exchange Server (ProxyNotShell) für Schlagzeilen. Außerdem gab es zuletzt weitere Attacken im Kontext der ProxyNotShell-Sicherheitslücken.

In einem Support-Beitrag teilt Microsoft jetzt das eigentlich Offensichtliche mit: Angreifer werden immer auf der Suche nach unpatchten Exchange Servern sein. Deswegen müssen Admins die Systeme stets auf dem aktuellen Stand halten. Dafür stellt Microsoft Cumulative Updates (CU) und Security Updates (SU) für verschiedene Exchange-Versionen zur Verfügung. Beide Updatestränge sind kumulativ, sodass man mit der aktuellen Version auch immer ältere Patches direkt mit installiert. Aktuell sind folgende Update-Pakete:

Nach dem Patchen sollten Admins den Microsofts Health Checker laufen lassen, um etwaigen Problemen nach einem Update auf die Spur zu kommen. Das Tool soll auch zu möglichen Lösungen führen. Außerdem sollten Admins den Exchange Emergency Mitigation Service, über den Microsoft vorab Sicherheitsregeln veröffentlicht, im Auge behalten.

Microsofts Hinweis, dass Admins Exchange Server stets auf dem aktuellen Stand halten sollen, ist richtig und wichtig, doch wie soll das funktionieren, wenn etwa die ProxyNotShell-Patches knapp zwei Monate auf sich warten ließen? Bis dahin mussten Admins mehrmals angepasste Workarounds zur Absicherung umsetzen, da auch diese immer wieder Schwachstellen aufwiesen.

Weiterhin gibt Microsoft noch Sicherheitstipps. Admins sollten etwa die Authentifizierung durch die Aktivierung von Extended Protection härten. Zusätzlich empfiehlt es sich, die Zertifikat basierte Signierung von PowerShell-Serialisierungsnutzdaten zu aktivieren. Dieses optionale Feature hielt im Januar 2023 mit einem Update Einzug.

(des)