Exchange-Schwachstelle: Microsoft veröffentlicht One-Click-Tool

Wir haben darüber berichtet: Es gab / gibt eine Lücke in Microsofts Exchange-Software, die bereits aktiv ausgenutzt wurde / wird und zigtausende Server befiel – selbst das BSI schaltete sich ein. Microsoft hat vor kurzem einen Patch für die „Hafnium“-Schwachstelle veröffentlicht, der jedoch hauptsächlich für große Unternehmen mit IT-Menschen gedacht ist, die mit der relativ komplexen Implementierung umgehen können.

Nun hat Microsoft auch eine One-Click-Lösung bereitgestellt, die wesentlich einfacher zu installieren ist.  Nutzer, die den Patch ausführen, bekommen zunächst die aktuell bekannten Einfallstore, die den Fehler (CEV-2021-26855) ausnutzen, mithilfe einer URL-Rewrite-Konfiguration geschlossen. Anschließend wird der Exchange-Server mit dem Microsoft Safety Scanner gescannt und bei Befall versucht, die Änderungen rückgängig zu machen.

Microsoft schreibt:

Das Exchange On-premises Mitigation Tool ist wirksam gegen die Angriffe, die wir bisher gesehen haben, aber es ist nicht garantiert, dass es alle möglichen zukünftigen Angriffstechniken abwehrt.

Dieses Tool sollte nur als vorübergehende Abschwächung verwendet werden, bis Ihre Exchange-Server wie in unserer vorherigen Anleitung beschrieben vollständig aktualisiert werden können.

Wir empfehlen dieses Skript dem vorherigen Skript ExchangeMitigations.ps1 vorzuziehen, da es auf der Grundlage der neuesten Bedrohungsdaten abgestimmt wurde. Wenn Sie bereits mit dem anderen Skript begonnen haben, ist es in Ordnung, zu diesem Skript zu wechseln.

Dies ist ein empfohlener Ansatz für Exchange-Bereitstellungen mit Internetzugang und für diejenigen, die eine automatische Behebung versuchen möchten.

Bisher haben wir keine Auswirkungen auf die Exchange Server-Funktionalität beobachtet, wenn diese Abhilfemethoden eingesetzt werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Als One-Click-Tool würde ich es nicht bezeichen, da es immer noch (nur) ein Powershell Script ist, was unter Exchange Management Shell ausgeführt werden muss.

    • Microsoft selbst bezeichnet es als One Click-Tool. Der Heise-Newticker ist da schon vorsichtiger und schreibt, „Exchange-Server mit wenigen Klicks absichern“. 🙂

    • Ich bin enttäuscht, sie wissen seit Januar von den Lücken und verkaufen ein Powershell-Script als One-Click-Tool?! Und das am 15.03.2021?! Was läuft denn da schief?!

  2. Eine aus meiner Sicht wesentlich bessere Anleitung gibt es hier, die auch noch ganz andere Dinge mit berücksichtigt, die Microsoft völlig außer acht lässt. Hat uns geholfen! https://research.hisolutions.com/2021/03/hafnium-selbsthilfe-microsoft-exchange/

  3. Solarwinds-Hacker haben Microsoft von März bis Dezember 2020 in zwei Phasen ausspioniert.
    DEVCORE hat Microsoft wegen Exchange (ProxyLogon) am 05.01.2021 informiert siehe -> https://proxylogon.com/ und was ist passiert – Nichts bis Anfang März, als es schlicht zu spät war.
    Unabhängig hiervon:
    Die IT-Sicherheit ist noch nicht überall in den Köpfen von Häuptlinge angekommen. 🙁

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.