Regeln

Only words with 2 or more characters are accepted
Max 200 chars total
Space is used to split words, "" can be used to search for a whole string (not indexed search then)
AND, OR and NOT are prefix words, overruling the default operator
+/|/- equals AND, OR and NOT as operators.
All search words are converted to lowercase.

Aktivieren von „Emergency Mitigation“ in Exchange 2016 CU21 & Exchange 2019 CU11

Arne Weinmann / 05. Oktober 2021

Emergency Mitigations

Nach Installation der am 28.09.2021 veröffentlichen Cumulative Updates für Exchange Server steht ein neues Sicherheitsfeature auf Exchange Server 2016 & 2019 zur Verfügung. Wenn der „Emergency Mitigation“-Dienst aktiviert ist, kann dieser Maßnahmen einleiten, um Angriffen über kritische Sicherheitslücken (wie z.B. die vier Lücken bei Hafnium) entgegenzuwirken. Emergency Mitigations schließen die Sicherheitslücken nicht wie Patches dies tun - Stattdessen werden verwundbare Dienste gestoppt oder die Application Pools von Exchange-Verzeichnissen (z.B. ECP oder EWS) angehalten. Mit Aktivierung des Dienstes muss in Kauf genommen werden, dass in Notfällen einzelne Dienste des Exchange Systems nicht mehr zur Verfügung stehen, um Angriffen darauf vorzubeugen. Erst nach Schließung der Sicherheitslücke durch Installieren eines Patches und Entfernung der Emergency Mitigation kann der Normalzustand wiederhergestellt werden.

Dementsprechend wird Microsoft die Emergency Mitigations nur für die gravierendsten Fälle veröffentlichen, in denen die Gefahr besteht, dass Sicherheitslücken massiv von Angreifern genutzt werden.

Voraussetzungen

Jeder Exchange Server, der Emergency Mitigations nutzen soll, muss über das Internet Zugriff auf folgende URL haben: https://officeclient.microsoft.com/getexchangemitigations

Aktivierung

Die Emergency Mitigations sollen nach Installation des Cumulative Updates organisationsweit aktiviert sein. Microsoft hat bestätigt, dass dies nicht immer der Fall ist, auch nicht in unserem Beispiel:

Auf Serverebene sind sie aktiv.

Die organisationsweiten Einstellungen überschreiben jedoch die individuellen Servereinstellungen, siehe Szenario 3 in folgender Tabelle:

Org Setting

True

EM will automatically apply mitigations to the Exchange server when both are True.

Server Setting

True

 

Org Setting

True

EM will not automatically apply mitigations to a specific Exchange server when the Org setting is True, and the Server setting is False.

Server Setting

False

 

Org Setting

False

EM will not automatically apply mitigations to any Exchange server when the Org setting is False.

Server Setting

True or False

Zur Aktivierung muss die OrganizationConfig angepasst werden:

Nun sind die Emergency Mitigations zugelassen und können auf Servern deaktiviert werden, die sie nicht benötigen (zum Beispiel, wenn deren Schnittstellen nicht im Internet veröffentlicht sind).

Die Aktivierung des Dienstes ist auf den Servern im Emergency Mitigation Logfile ersichtlich. Dies ist unter folgendem Pfad zu finden: <ExchangeInstallDir>\V15\Logging\MitigationService

Bis zur Aktivierung des Dienstes wird der Server nach neuen Mitigations suchen, diese aber nicht anwenden:

Nach Aktivierung (im Beispiel um 15.34 Uhr) wird eine Test-Mitigation „Ping1“ abgerufen und erfolgreich angewendet:

Der „Emergency Mitigation“-Dienst ist somit eingerichtet und erhöht den Schutz des Exchange Servers.


 

Zurück