Neues Tool von Microsoft: Exchange-Server mit wenigen Klicks absichern

Microsoft möchte Admins mit einem neuen Tool unterstützen, Exchange-Server so schnell und einfach wie möglich abzusichern.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 232 Beiträge

(Bild: Gorodenkoff/Shutterstock.com)

Von
  • Dennis Schirrmacher

Mit dem jüngst veröffentlichten On-premises Mitigation Tool (EOMT) können Admins Exchange-Server mit wenigen Klicks innerhalb kürzester Zeit gegen die aktuellen Attacken absichern.

Damit will Microsoft vor allem Admins helfen, die mit Patch-Routinen noch nicht so vertraut sind. Das Tool ersetzt die Sicherheitspatches aber nicht.

Das Tool kann man gratis auf der Github-Website von Microsoft herunterladen. In einem Beitrag beschreiben die Entwickler, dass das EOMT Exchange-Server durch URL Rewrite Server vor der Initial-Attacke ProxyLogon (CVE-2021-26855) schützt. Dabei versuchen Angreifer eine nicht vertrauenswürdige Verbindung zum Server (Port 443) auszubauen. Klappt das, nutzen Angreifer weitere Lücken aus und nisten sich unter anderem mit einer Backdoor auf Servern ein.

Sind Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht Server auf Schadcode von Angreifer. Wird er fündig, versucht er im Zuge der Attacke verbogene Servereinstellung geradezubiegen. Inwieweit das verlässlich funktioniert, ist bislang nicht bekannt.

Lesen Sie auch

Microsoft gibt an, dass diese Absicherung Exchange-Server effektiv vor derzeitig bekannten Attacken schützt. Neuartige Angriffsszenarien könnten den Schutz des Tools aber aushebeln. Deswegen gilt es nicht als allumfassende Schutzmaßnahme und Admins sollten die verfügbaren Sicherheitspatches zügig installieren.

Den Entwicklern zufolge funktioniert das EOMT mit Exchange-Server 2013, 2016 und 2019. Es soll effektiver sein als das ExchangeMitigations.ps1-Skript. Microsoft versichert, dass sie bislang keine durch das Tool verursachte Fehler im Exchange-Betrieb beobachtet haben.

Nachdem das Tool gestartet wurde, können Admins unter C:\EOMTSummary.txt einsehen, was das Werkzeug getan hat. Mit dem Skript Test-ProxyLogon.ps1 können Admins prüfen, ob Server bereits kompromittiert sind.

Seit Anfang März sorgen Attacken auf Exchange-Server weltweit für Furore. Hierzulande sind zehntausende Server betroffen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die "IT-Bedrohungslage rot" ausgerufen.

Nach erfolgreichen Attacken hinterlassen Angreifer Hintertüren für einen späteren Zugriff auf Server. Außerdem landet vermehrt der Erpressungstrojaner DearCry auf kompromittierten Exchange-Servern.

Siehe dazu auch:

  • EOMT: Download sicher und schnell von heise.de

(des)