Aktivieren von „Emergency Mitigation“ in Exchange 2016 CU21 & Exchange 2019 CU11
Arne Weinmann / 05. Oktober 2021Emergency Mitigations
Nach Installation der am 28.09.2021 veröffentlichen Cumulative Updates für Exchange Server steht ein neues Sicherheitsfeature auf Exchange Server 2016 & 2019 zur Verfügung. Wenn der „Emergency Mitigation“-Dienst aktiviert ist, kann dieser Maßnahmen einleiten, um Angriffen über kritische Sicherheitslücken (wie z.B. die vier Lücken bei Hafnium) entgegenzuwirken. Emergency Mitigations schließen die Sicherheitslücken nicht wie Patches dies tun - Stattdessen werden verwundbare Dienste gestoppt oder die Application Pools von Exchange-Verzeichnissen (z.B. ECP oder EWS) angehalten. Mit Aktivierung des Dienstes muss in Kauf genommen werden, dass in Notfällen einzelne Dienste des Exchange Systems nicht mehr zur Verfügung stehen, um Angriffen darauf vorzubeugen. Erst nach Schließung der Sicherheitslücke durch Installieren eines Patches und Entfernung der Emergency Mitigation kann der Normalzustand wiederhergestellt werden.
Dementsprechend wird Microsoft die Emergency Mitigations nur für die gravierendsten Fälle veröffentlichen, in denen die Gefahr besteht, dass Sicherheitslücken massiv von Angreifern genutzt werden.
Voraussetzungen
Jeder Exchange Server, der Emergency Mitigations nutzen soll, muss über das Internet Zugriff auf folgende URL haben: https://officeclient.microsoft.com/getexchangemitigations
Aktivierung
Die Emergency Mitigations sollen nach Installation des Cumulative Updates organisationsweit aktiviert sein. Microsoft hat bestätigt, dass dies nicht immer der Fall ist, auch nicht in unserem Beispiel:
Auf Serverebene sind sie aktiv.
Die organisationsweiten Einstellungen überschreiben jedoch die individuellen Servereinstellungen, siehe Szenario 3 in folgender Tabelle:
Org Setting | True | EM will automatically apply mitigations to the Exchange server when both are True. |
Server Setting | True | |
| ||
Org Setting | True | EM will not automatically apply mitigations to a specific Exchange server when the Org setting is True, and the Server setting is False. |
Server Setting | False | |
| ||
Org Setting | False | EM will not automatically apply mitigations to any Exchange server when the Org setting is False. |
Server Setting | True or False |
Zur Aktivierung muss die OrganizationConfig angepasst werden:
Nun sind die Emergency Mitigations zugelassen und können auf Servern deaktiviert werden, die sie nicht benötigen (zum Beispiel, wenn deren Schnittstellen nicht im Internet veröffentlicht sind).
Die Aktivierung des Dienstes ist auf den Servern im Emergency Mitigation Logfile ersichtlich. Dies ist unter folgendem Pfad zu finden: <ExchangeInstallDir>\V15\Logging\MitigationService
Bis zur Aktivierung des Dienstes wird der Server nach neuen Mitigations suchen, diese aber nicht anwenden:
Nach Aktivierung (im Beispiel um 15.34 Uhr) wird eine Test-Mitigation „Ping1“ abgerufen und erfolgreich angewendet:
Der „Emergency Mitigation“-Dienst ist somit eingerichtet und erhöht den Schutz des Exchange Servers.