Microsoft Exchange EM: Sicherheitsadministratoren für Dienste, die Sie wissen müssen

Wenn Ihr Unternehmen lokale Exchange-Server ausführt, ist es eine gute Idee, die wichtigsten Schutzmaßnahmen von Microsoft zu nutzen. Microsoft startete im September Exchange EM (Emergency Mitigation)-Dienstalle. Dieser Service ist im kumulativen Update vom September 2021 enthalten, ersetzt jedoch nicht den Patch. Exchange EM bietet eine bessere Möglichkeit, Ihre lokalen Exchange-Server zu schützen.
Getty Images Bank

Ein Zero-Day-Angriff auf Microsofts Exchange-Server im Mai hat ergeben, dass viele Unternehmen die neuesten Patches nicht aufgespielt haben. Als Microsoft davon erfuhr, begann Microsoft mit der Arbeit mit Microsoft Defender Antivirus, das automatische Risikominderung und System Center Endpoint Protection umfasst. Exchange On-Premises Mitigation Tool (EOMT)wurde sofort verteilt.

„EOMT ist ein Tool, das temporäre Abwehrmaßnahmen auf Exchange-Server anwendet, um anfällige Angriffspunkte proaktiv zu minimieren, bis Administratoren Sicherheitsupdates installieren können“, sagte Microsoft. Wir empfehlen, es zu verwenden, wenn Sie einen über das Internet zugänglichen Exchange-Server bereitstellen und das Risiko bei der Vorbereitung eines Updates schnell minimieren müssen.“


Was ist der Microsoft Exchange EM-Dienst?

Microsoft erkannte den weiteren Handlungsbedarf und veröffentlichte das September-Update. EM war enthalten. “EM läuft wie ein Windows-Dienst auf einem Exchange-Server”, sagte Microsoft. Eine integrierte Version von EOMT, die mit dem Cloud-basierten Office Config Service (OCS) funktioniert und Schutzmaßnahmen vor bekannten Sicherheitsbedrohungen schützt. OCS ist der gleiche Online-Konfigurationsdienst, den Office-Clients verwenden.“

EM einmal pro Stunde Untersuchen Sie die URLÜberprüfen Sie das OCS. Wenn Microsoft eine Sicherheitsbedrohung erkennt, erstellt es eine Risikominderung für das Problem und wendet die Risikominderungseinstellungen auf den Server an. Ein Risikominderungspaket ist eine XML-Datei, die signiert ist, damit die Datei nicht manipuliert wird. EM ersetzt keine Sicherheitsupdates, sondern hilft Benutzern, Updates bereitzustellen und zu testen. Wenn Sie das kumulative Update vom September installieren, wird der EM-Dienst automatisch auf allen Postfachservern installiert. Es ist nicht auf Edge-Transport-Servern installiert und Sie können den EM-Dienst in den Administratoreinstellungen deaktivieren.


Voraussetzungen für EM

Um EM verwenden zu können, muss das Internetinformationsdienste (IIS) URL Rewrite Module v2 auf dem Exchange Server installiert sein. Wenn das Modul nicht vorhanden ist, wird beim kumulativen Update eine Fehlermeldung angezeigt. Wenn das kumulative Update vom September installiert ist, benötigen Sie das IIS URL Rewrite-Modul mit oder ohne EM.

Wenn Sie Windows Server 2012 R2 mit installiertem Exchange 2016 verwenden, müssen Sie zuerst KB2999226 (Update für Universal C Runtime) installieren, bevor Sie das kumulative Update durchführen. Während der Installation werden Sie über die Voraussetzungen informiert. Natürlich ist eine Internetverbindung für das Funktionieren des EM-Dienstes unerlässlich.


So funktioniert EM

Bei einem Angriff führt der EM-Dienst mehrere optionale Aktionen durch, um das Netzwerk zu schützen. IIS-Rewrite-Regeln filtern bösartige HTTPS-Anforderungen heraus, deaktivieren Exchange Server und deaktivieren virtuelle Verzeichnisse oder App-Pools. Es ähnelt der Methode des US-Justizministeriums im April, um präventiv zu reagieren, als die Patch-Server im Januar und Februar gehackt wurden. Damals entfernte das FBI gemäß einem Gerichtsbeschluss die durch ihren eindeutigen Dateipfad identifizierte Web-Shell vom Exchange-Server.

Als Teil des EM-Dienstes sendet Microsoft eine Beispielabschwächung namens PING. Benutzer können durch Ping überprüfen, ob das OCS und der Server ordnungsgemäß verbunden sind.

Sobald das kumulative Update installiert ist, können Benutzer das Skript „Get-Mitigations.ps1PowerShell“ verwenden, um zu überprüfen, welche Risikominderungen und welche Optionen verfügbar sind. Benutzer können Risikominderungen vorübergehend oder dauerhaft deaktivieren, wenn Interaktionen vermutet werden. Wenn es vorübergehend deaktiviert ist, kann der EM-Dienst später neu gestartet werden.

Die EM-Dienstaktivität wird im Windows-Ereignisprotokoll protokolliert. Wenn es normal funktioniert, werden die neuen Ereignisse 1005 und 1006 mit dem Quellnamen ‘MSExchange Mitigation Service’ aufgezeichnet. Ereignis 1008 wird protokolliert, wenn der EM-Dienst nicht mit dem Internet oder dem zugehörigen OCS verbunden ist. Suchen Sie Ihre eigene Protokollierung im Ordner ‘V15LoggingMitigationService’ im Exchange Server-Installationsverzeichnis.

Orange Tsai, ein Sicherheitsforscher und Experte für Exchange-Schwachstellen, wies kürzlich auf einer Black-Hat-Sicherheitskonferenz darauf hin, dass es in lokalen Exchange-Umgebungen keine Programme zur Kompensation von Schwachstellen gibt. Auch andere Insider der Sicherheitsbranche waren besorgt über das jüngste mangelnde Interesse an lokalen Servern. In dieser Hinsicht ist es erfrischend zu sehen, dass Microsoft die Sicherheitslösungen, die es für Clouddienste bereitstellt, auch für lokale Umgebungen bereitstellt.

Wenn es Unternehmen gibt, die noch lokale Exchange-Server betreiben, wird empfohlen, die von Microsoft bereitgestellten Ressourcen und Tools zu verwenden, um sich auf das Risiko von Hacking vorzubereiten. Zero-Day-Angriffe sind eine gängige Methode, die von Hackern verwendet wird. Microsoft hat auf dieses Risiko für seine lokalen Kunden reagiert. Wir empfehlen Ihnen dringend, den EM-Dienst auf Ihrem Mailserver zu testen und zu installieren.

Hacker sammeln nicht nur Passwörter durch einen Exchange-Zero-Day-Angriff mit der Autodiscover-Funktion, sondern suchen auch nach verschiedenen Möglichkeiten, um mit allen Mitteln in das Netzwerk einzudringen. Mit EM-Diensten können Sie Ihre Server mit den aktuellsten Richtlinien und Methoden schützen, ohne Sicherheitsupdates in Eile installieren zu müssen. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!