Bisher immer noch ungepatchte Sicherheitslücken in allen Versionen des Exchange-Servers gestatten Angreifern sntsprechende Angriffe. Es gab zwar beim Belanntwerden der Schwachstellen im letzten November erste Gegenmaßnahmen, aber jetzt hat Microsoft einen Sicherheitshinweis herausgegeben, in dem Tipps zur Absicherung des Exchange-Servers für die Admins gegeben werden, der hier kurz erklärt werden soll.
Die Absicherung des Exchange-Servers
Systeme, die einem hohen Risiko durch mögliche Angriffe ausgesetzt sind, sollten nach Microsofts Sicherheitshinweis bis zum Erscheinen von Updates, die das Problem patchen, mit einem Workaround abgesichert werden.
Um solche Server abzusichern, müssen die Exchange-Admins die verwundbaren Trottling Policy EWSMaxSubscriptions mit diesem Powershell-Befehl definieren und deren Wert auf 0 setzen:
New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization
Das verhindert laut Microsoft, dass der Exchange-Server irgendwelche EWS-Benachrichtigungen aussendet, über die ein Angreifer die Schwachstelle dann ausnutzen kann.
Der Workaround dürfte einige Clients stören
Einige Client-Anwendungen von Exchange wie beispielsweise Outlook für macOS oder Skype für Business, die auf die EWS-Benachrichtigungen angewiesen sind, dürften nach Anwendung des Powershell-Workarounds aber wohl nicht mehr korrekt funktionieren…
Echtes Update zum Patchday erwartet
Microsoft soll intensiv an einem Update, das die Schwachstelle schließen soll. Es wird erwartet, dass dieses am Patchday in der nächsten Woche ausgeliefert wird.
Sobald dieser Patch installiert wurde, kann man die durch den Workaround mit Powershell gesetzte Richtlinie durch dieses Powershell-Kommando wieder zurücknehmen:
New-ThrottlingPolicy AllUsersEWSSubscriptionBlockPolicy
