Mit einem soeben veröffentlichten On-premises Mitigation Tool (EOMT) von Microsoft können Admins ihre Exchange-Server mit nur wenigen Klicks in kürzester Zeit gegen die aktuellen Angriffe absichern.

Mit dem Tool will Microsoft insbesondere solchen Admins helfen, die noch nicht so vertraut mit Patch-Routinen sind. Achtung: Das Werkzeug ersetzt nicht die Sicherheitspatches.

Tool sucht auch nach Backdoors und verbogenen Einstellungen

Das Tool lässt sich gratis auf der Github-Website von Microsoft herunterladen. In einem Beitrag dazu beschreiben die Entwickler, dass das EOMT-Script die Exchange-Server durch URL Rewrite Server vor dem Initial-Angriff ProxyLogon (CVE-2021-26855) schützt, bei dem Angreifer versuchen, eine nicht vertrauenswürdige Verbindung zum Server (Port 443) auszubauen. Wenn das geklappt hat, nutzen die Angreifer weitere Lücken aus und legen dann unter anderem eine Backdoor auf den Servern ab.

Wenn die Server abgesichert sind, lädt das Tool den Microsoft Security Scanner herunter. Der untersucht dann den Server auf von den Angreifern hinterlassenen Schadcode. Sollte er fündig werden, versucht er, im Zuge des Angriffs verbogene Servereinstellung wieder zu korrigieren. Inwieweit das verlässlich funktioniert, ist allerdings bisher nicht bekannt – das Tool ist ja erst wenige Stunden verfügbar.

Patches in jedem Fall umgehend installieren

Microsoft weist aber darauf hin, dass diese Absicherung Exchange-Server zwar effektiv vor derzeitig bekannten Attacken schützt, aber neuartige Angriffsszenarien den Schutz des Tools aushebeln könnten. Deswegen gilt das EOMT-Tool nicht als umfassende Schutzmaßnahme und die Admins sollten die verfügbaren Sicherheitspatches in jedem Fall schnellstmöglich installieren.

Laut den Entwicklern arbeitet das EOMT mit Exchange-Server 2013, 2016 und 2019. Es soll deutlich effektiver sein als das ExchangeMitigations.ps1-Skript. Dazu versichert, Microsoft, dass bisher keine durch das Tool verursachten Fehler im Exchange-Betrieb beobachtet wurden.

Wenn sie das Tool gestartet haben, können die Admins unter C:\EOMTSummary.txt einsehen, was das Werkzeug gemacht hat. Mit dem schon länger verfügbaren Skript Test-ProxyLogon.ps1 können die Admins prüfen, ob Server bereits kompromittiert sind.