Microsoft EOMT: Neues Tool für die Absicherung von Exchange

Mit dem neuen Tool richtet sich Microsoft vor allem an kleine und mittlere Unternehmen. Das Admin-Werkzeug soll insbesondere Unternehmen helfen, die über keine gesonderten Security-Teams verfügen oder deren IT-Mannschaft nicht so versiert in dem Einspielen der eigentlichen Exchange-Sicherheitsupdates ist. Das One-Click Microsoft Exchange On-Premises Mitigation Tool (EOMT) soll es Admins sehr einfach machen, die betroffenen Server abzusichern. Ein Ersatz für die jüngst veröffentlichten Sicherheitsupdates für die kritischen Schwachstellen sei das Tool nicht.

Das Tool EOMT kann kostenlos auf der Exchange-Github-Seite von Microsoft heruntergeladen werden. Microsoft gibt an, das Tool mit den Exchange-Servern 2013, 2016 und 2019 getestet zu haben. Man habe keine Auswirkungen auf die Exchange-Server-Funktionalität feststellen können, die durch die im Tool angewandten Methoden verursacht würden. Das Tool schafft Abhilfe gegen die aktuell bekannten Angriffe über CVE-2021-26855 per URL-Rewrite-Konfiguration. Darüber hinaus lädt das Werkzeug den Microsoft Safety Scanner herunter und scannt den Exchange Server. Werden Probleme entdeckt, wird versucht, diese automatisch zu beheben. In einem Blogbeitrag liefert Microsoft einige weitere Hinweise zu dem Werkzeug.

Das Tool sei kein Ersatz für die eigentlichen Sicherheitsupdates, aber laut Microsoft die einfachste und schnellste Möglichkeit, die größten Risiken für mit dem Internet verbundene lokale Exchange-Server vor dem richtigen Update zu minimieren. Daher sollte EOMT nur als vorübergehende Entschärfungsmaßnahme betrachtet werden, bis die Exchange-Server vollständig aktualisiert werden können.

Anfang März hatte Microsoft einige Sicherheitsupdates außer der Reihe (Out-of-band) veröffentlicht, mit denen sich kritischen Sicherheitslücken auf verschiedenen Versionen von Exchange-Servern schließen lassen. Bereits kurz danach hat das BSI hiesiger Unternehmen eindringlich darauf hingewiesen, die Updates einzuspielen, es seien zehntausende anfällige Server in Deutschland zu finden. Seit dem 12. März 2021 registrieren Sicherheitsforscher zudem vermehrt Ransomware-Angriffe auf die anfälligen Server. Zu diesem Zeitpunkt hat das BSI hierzulande immer noch 19.000 anfällige Systeme ausgemacht. Die Aktualisierung der betroffenen Exchange-Server gehe augenscheinlich schleppend voran.