Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Das bedeutet Microsofts neuer Notausschalter für Exchange

Mit "Emergency Mitigations" will Microsoft zukünftig akut bedrohte Teile der Exchange-Server seiner Kunden selbst abschalten. Das Modell könnte Zukunft haben.
Microsoft reagiert auf den Security-GAU im Frühjahr, bei dem nahezu alle aus dem Internet erreichbaren Exchange-Server von Angreifern mit Hintertürprogrammen kompromittiert wurden. Das betraf die Kommunikationszentralen hunderttausender Firmen. Um so etwas zu verhindern, will Microsoft zukünftig über sogenannte Emergency Mitigations gezielt Funktionen der Exchange-Server ihrer Kunden stilllegen, die akut angegriffen werden. Der dafür zuständige Dienst ist Bestandteil der kumulativen September-Updates für Exchange Server 2016/2019 und standardmäßig aktiv.

Der Weckruf​

Anfang des Jahres kam es
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
: Vermutlich chinesische Angreifer der Hafnium-Gruppe kaperten über bis dato unbekannte Sicherheitslücken (Zero Days) Exchange-Server. Erst einige wenige, sehr gezielt. Während Microsoft noch an einem Patch arbeitete, kam es dann zu einer Angriffswelle, die tausende Server betraf. Und als Microsoft die Verfügbarkeit der schützenden Sicherheits-Updates verkündete, kam es zu einer wahren Flut von Angriffen, bei der innerhalb weniger Stunden alle erreichbaren Exchange-Server attackiert wurden.

Da die Sicherheitslücken in der Standardkonfiguration ausnutzbar waren und die Flut schneller kam, als die Admins die Patches installieren konnten, erwischte es praktisch alle aktiven Exchange-Server. Deren Admins mussten dann mühsam die auf dem System installierten Backdoors aufspüren und entfernen, bevor sie wieder zum Normalbetrieb zurückkehren konnten.

Das deutsche BSI rief damals die
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
aus. Doch so schlimm das war, kann man es noch als eine Art Weckruf betrachten. Der Vorfall bewies, dass Angreifer über Zero-Day-Sicherheitslücken im Prinzip beliebige aus dem Internet erreichbare IT-Infrastruktur komplett lahmlegen können und Sicherheits-Updates schützen davor nicht.

Die Reaktion​

Die Emergency Mitigations (EM) sollen jetzt das Immunisieren akut gefährdeter Exchange-Server beschleunigen. Microsoft kann damit zentral in Redmond einen Schalter umlegen, um praktisch sofort einzelne, angreifbare Funktionen stillzulegen. Da wird dann kein Patch eingespielt, der eine Sicherheitslücke tatsächlich beseitigt. Stattdessen aktiviert Microsoft beispielsweise eine URL-Rewrite-Regel, die etwa den Zugriff auf eine bestimmte Komponente des Administrations-Interfaces blockiert. Der reguläre Exchange-Betrieb kann hingegen weitergehen.

Microsoft benennt derzeit drei verschiedene Typen von Mitigations, die auf diesem Weg ausgerollt werden können:

  • URL-Rewrites: Das blockiert den (HTTP-)Zugriff auf bestimmte Exchange-Funktionen
  • Deaktivieren von Diensten: Das legt bestimmte Exchange-Dienste lahm
  • App Pools deaktivieren: Das schaltet einen ganzen App Pool des Servers ab
Der EM-Dienst überprüft stündlich, ob Microsoft neue Mitigations bereitgestellt hat. Wenn ja, lädt er diese herunter und führt sie automatisch aus. Damit ist der Server im Idealfall gegen die akuten Angriffe geschützt, bis Microsoft einen richtigen Patch bereitstellt. Den muss der Admin dann selbst einspielen. Auch das Deaktivieren der von Microsoft aktivierten Mitigations bleibt an ihm oder ihr hängen, erklärt Microsoft:

"After an SU or a CU has been installed, an admin must manually remove any mitigations that are no longer needed."

Der Dienst zum Abruf und Aktivieren der EMs ist standardmäßig aktiv. Administratoren können ihn jedoch abschalten oder das automatische Anwenden der Mitigations für einzelne Server oder organisationsweit blockieren. Microsoft beschreibt die dafür notwendigen Einstellungen in der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.

Einschätzung​

Das Konzept ist tatsächlich vielversprechend. Denn im Idealfall kann Microsoft mit den EMs kritische Sicherheitslücken innerhalb von Stunden entschärfen oder zumindest akute Angriffswellen ins Leere laufen lassen. Das könnte man sich durchaus auch für andere Produkte auch von anderen Herstellern wünschen. Allerdings gibt der Betreiber des Servers damit einen (weiteren) Teil seiner Souveränität auf. Schließlich könnte Microsoft seinen Server auf diesem Weg jederzeit lahmlegen oder zumindest durch unachtsames "mitigieren" ernste Probleme verursachen. Insgesamt werfen zentrale, vom Hersteller verwaltete Notausschalter einige wichtige Fragen auf:

Sollte man die EMs nicht doch lieber vorsichtshalber abschalten?

Die kurze Antwort: Ich glaube nicht. Und ausführlich: Die vorgestellten Mitigations erscheinen mir angesichts der realen Bedrohung angemessen und zielführend. Zwar ist klar, dass es beim Einsatz von EMs zu Problemen kommen wird, weil plötzlich Dinge nicht mehr funktionieren. Aber die Gefahr weiterer Angriffe im Hafnium-Stil ist real und wird absehbar zu größeren Schäden führen.

Zentral aktivierte Mitigations können in der Tat Katastrophen unübersehbaren Ausmaßes verhindern oder zumindest eindämmen. Bei einem verantwortungsbewussten Einsatz des EM-Dienstes kann Microsoft die Gefahr von Nebenwirkungen gering halten. Daran haben sie selbst großes Interesse, da Probleme mit den EMs direkt auf sie zurückfallen werden.

Wer die EMs präventiv abschaltet, sollte unbedingt anderweitige Härtungsmaßnahmen vornehmen, die den Exchange-Server vor Angriffen sichern. So kann man etwa den Zugriff auf das Management-Interface aus dem Internet standardmäßig blockieren. Allerdings ist das aufgrund des verunglückten Designs ebenfalls mit Nebenwirkungen verbunden.

Warum macht Microsoft das?

Erneut eine kurze Antwort: Die haben massiv Schiss. Die etwas längere: Man kann da über böswillige Hintertüren spekulieren. Das halte ich aber in diesem Kontext für sehr unwahrscheinlich. Ich glaube eher, dass Microsoft bewusst geworden ist,
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
mittlerweile ist und dass so etwas wie der Hafnium-GAU jederzeit wieder passieren kann. Und dass sie es sich schlicht nicht leisten können, auf diese Art und Weise erpressbar zu sein.

Die Einführung dieser Exchange Emergency Mitigation ist aus meiner Sicht ein Zeichen purer Verzweiflung. Die machen das nicht gerne, sondern binden sich da eine Menge Verantwortung und Arbeit ans Bein. Schließlich erwächst aus dieser Funktion auch die Verpflichtung, sich darum zu kümmern, dass das ordentlich abläuft, nichts kaputt macht und bei Problemen zu helfen. Das ist normalerweise ein Teil der Administration, die die Kunden On Premise gefälligst selber zu erledigen haben – oder sich das als Dienstleistung teuer einkaufen. Wenn Microsoft das kostenlos anbietet, dann muss die Not groß sein.

Man sollte allerdings damit rechnen, dass Microsoft auch deshalb seine Kunden noch stärker in die Cloud drängen wird. Da haben sie eine Umgebung unter eigener Kontrolle, bei der sie bei akuten Angriffen schnell reagieren können. Das ist allemal lukrativer als das marode On-Premise-Exchange in Bezug auf Security grundsanieren zu müssen. Der Betrieb eigener Exchange-Server wird damit wohl endgültig zum Auslaufmodell. Microsoft-Kunden sollten sich also spätestens jetzt Gedanken darüber machen, ob man seine Kommunikation komplett in Microsofts Hände geben will und welche Alternativen es gibt.

Im Expertenforum von heise Security Pro diskutieren Administratoren und Sicherheitsverantwortliche, wie sie mit den neuen Exchange Emergency Mitigations umgehen.
Quelle: heise
 
Zurück
Oben