Das bedeutet Microsofts neuer Notausschalter für Exchange
Mit "Emergency Mitigations" will Microsoft zukünftig akut bedrohte Teile der Exchange-Server seiner Kunden selbst abschalten. Das Modell könnte Zukunft haben.
(Bild: Wikimedia, CC BY-SA 3.0)
Microsoft reagiert auf den Security-GAU im Frühjahr, bei dem nahezu alle aus dem Internet erreichbaren Exchange-Server von Angreifern mit Hintertürprogrammen kompromittiert wurden. Das betraf die Kommunikationszentralen hunderttausender Firmen. Um so etwas zu verhindern, will Microsoft zukünftig über sogenannte Emergency Mitigations gezielt Funktionen der Exchange-Server ihrer Kunden stilllegen, die akut angegriffen werden. Der dafür zuständige Dienst ist Bestandteil der kumulativen September-Updates für Exchange Server 2016/2019 und standardmäßig aktiv.
Der Weckruf
Anfang des Jahres kam es zum Exchange-GAU: Vermutlich chinesische Angreifer der Hafnium-Gruppe kaperten über bis dato unbekannte Sicherheitslücken (Zero Days) Exchange-Server. Erst einige wenige, sehr gezielt. Während Microsoft noch an einem Patch arbeitete, kam es dann zu einer Angriffswelle, die tausende Server betraf. Und als Microsoft die Verfügbarkeit der schützenden Sicherheits-Updates verkündete, kam es zu einer wahren Flut von Angriffen, bei der innerhalb weniger Stunden alle erreichbaren Exchange-Server attackiert wurden.
Da die Sicherheitslücken in der Standardkonfiguration ausnutzbar waren und die Flut schneller kam, als die Admins die Patches installieren konnten, erwischte es praktisch alle aktiven Exchange-Server. Deren Admins mussten dann mühsam die auf dem System installierten Backdoors aufspüren und entfernen, bevor sie wieder zum Normalbetrieb zurückkehren konnten.
Das deutsche BSI rief damals die "IT-Bedrohungslage rot" aus. Doch so schlimm das war, kann man es noch als eine Art Weckruf betrachten. Der Vorfall bewies, dass Angreifer über Zero-Day-Sicherheitslücken im Prinzip beliebige aus dem Internet erreichbare IT-Infrastruktur komplett lahmlegen können. Sicherheits-Updates können davor nicht ausreichend schützen, weil sie im Zweifelsfall zu spät kommen.
Die Reaktion
Die Emergency Mitigations (EM) sollen jetzt das Immunisieren akut gefährdeter Exchange-Server beschleunigen. Microsoft kann damit zentral in Redmond einen Schalter umlegen, um praktisch sofort einzelne, angreifbare Funktionen stillzulegen. Da wird dann kein Patch eingespielt, der eine Sicherheitslücke tatsächlich beseitigt. Stattdessen aktiviert Microsoft beispielsweise eine URL-Rewrite-Regel, die etwa den Zugriff auf eine bestimmte Komponente des Administrations-Interfaces blockiert. Der reguläre Exchange-Betrieb kann hingegen weitergehen.
Microsoft benennt derzeit drei verschiedene Typen von Mitigations, die auf diesem Weg ausgerollt werden können:
- URL-Rewrites: Das blockiert den (HTTP-)Zugriff auf bestimmte Exchange-Funktionen
- Deaktivieren von Diensten: Das legt bestimmte Exchange-Dienste lahm
- App Pools deaktivieren: Das schaltet einen ganzen App Pool des Servers ab
Der EM-Dienst überprüft stündlich, ob Microsoft neue Mitigations bereitgestellt hat. Wenn ja, lädt er diese herunter und führt sie automatisch aus. Damit ist der Server im Idealfall gegen die akuten Angriffe geschützt, bis Microsoft einen richtigen Patch bereitstellt. Den muss der Admin dann selbst einspielen. Auch das Deaktivieren der von Microsoft aktivierten Mitigations bleibt an ihm oder ihr hängen, erklärt Microsoft:
"After an SU or a CU has been installed, an admin must manually remove any mitigations that are no longer needed."
Der Dienst zum Abruf und Aktivieren der EMs ist standardmäßig aktiv. Administratoren können ihn jedoch abschalten oder das automatische Anwenden der Mitigations für einzelne Server oder organisationsweit blockieren. Microsoft beschreibt die dafür notwendigen Einstellungen in der Dokumentation der Exchange Emergency Mitigation (EM).
