Exchange Emergency Mitigation Service – Microsofts Fernsteuerung für Exchange

Es wurde erneut sichtbar, wie verwundbar komplexe Dienste sind, und wie schwer sich einige Unternehmen damit getan haben, diese Lücke zu schließen oder Workarounds einzurichten.

Daher stellt sich die Frage: Gibt es nicht einfachere und schnellere Methoden, um auf solche Sicherheitslücken und Angriffe zu reagieren? Die Antwort lautet wie so oft: Ja, aber. Microsoft hat mit den letzten Updates für Exchange 2016 und 2019 einen Mechanismus eingeführt, der genau das erreichen soll. Es handelt sich um den sogenannten „Emergency Mitigation“- oder „EM“-Service. Dieser benötigt zusätzlich den Microsoft IIS (Internet Information Services), der in den allermeisten Fällen genutzt wird. Allerdings hat EM auch seine Schattenseiten. Schauen wir uns an, was es ist, was es bringen kann und wo genau diese Schattenseiten liegen.

Was ist der Emergency Mitigation Service und was soll er bringen?

Der EM-Service ermöglicht Microsoft, Sicherheitsmechanismen, die von Exchange-Servern mit aktiviertem EM automatisch umgesetzt werden, zentral zu konfigurieren. Das klingt wie eine Fernsteuerung für alle Exchange-Server, die es auf der Welt gibt. Die konfigurierbaren Mechanismen sind dabei aktuell auf drei Bereiche beschränkt, die jedoch starken Einfluss auf den oder die Server haben können:

• Es können URL-Rewrite-Regeln umgeschrieben werden, womit Anfragen mit schädlichem Inhalt effektiv unterbunden werden.
• Einzelne, angreifbare Exchange-Dienste können abgeschaltet werden. Damit können wichtige Funktionen von heute auf morgen nicht mehr verfügbar sein.
• Einzelne IIS Application Pools können deaktiviert werden. Auch hier können Funktionen verloren gehen.

Die notwendigen Informationen holt sich der Exchange-Server dann beim „Office Config Service“. Er muss also Verbindungen zu einem Server im Internet aufbauen können.

Mit diesen Mechanismen hofft Microsoft, auf groß angelegte Angriffe zukünftig schnell reagieren zu können sowie Kunden schneller abzusichern und den Aufwand für sie zu reduzieren. Klingt erst mal gut, hat allerdings auch einige unschöne Aspekte.

Die Schattenseiten des Emergency Mitigation Service

Es birgt natürlich ein gewisses Risiko, Microsoft einen so weiten Eingriff in die eigene Infrastruktur zu gewähren. Löst Microsoft beispielsweise eine fehlerhafte oder zu weitreichende Gegenmaßnahme aus, könnte dies bei vielen Unternehmen zu großen Schwierigkeiten in der Exchange-Landschaft führen. Und selbst bei korrekten und minimalen Eingriffen können Teile von Exchange abgeschaltet werden. Gerade für solche Dienstleister, die Exchange als Managed Service anbieten, besteht so die Gefahr unzufriedener Kunden, obwohl dieser sich lediglich auf die empfohlenen Sicherheitsmechanismen von Microsoft verlässt.

Was in Europa und insbesondere in Deutschland ebenfalls eine Rolle spielen kann: Hier erlaubt man einem US-amerikanischen Unternehmen einen Eingriff in Systeme, in denen in vielen Fällen die kritischsten und vertraulichsten Kommunikationsdaten gespeichert sind. Ob man das mit Blick auf den CLOUD Act wirklich will, muss jeder für sich entscheiden.

Ein weiterer Aspekt: Gibt es einen Patch für eine durch den EM-Service abgeschwächte Sicherheitslücke, müssen die Konfigurationsänderungen, die der EM-Service vorgenommen hat, manuell wieder rückgängig gemacht werden. Das ist in großen Umgebungen mit einem erheblichen Aufwand verbunden! Microsoft überlässt also den Kunden die Aufräumarbeiten.

Geht es auch ohne Emergency Mitigation Service?

Die kurze Antwort lautet: Ja, es geht. Man kann diese Funktionalität abschalten. Eine Anleitung dafür befindet sich in der Dokumentation bei Microsoft.

Die etwas längere Antwort lautet: Ja, kann man, doch muss man sich dann auch mit den Risiken auseinandersetzen. Dabei müssen verschiedene Fragen betrachtet werden, zum Beispiel:

• Wie häufig wird dieser Mechanismus eingesetzt?
• Wie häufig kommen Fehlkonfigurationen durch Microsoft vor?
• Wie schnell kann ein Administrator reagieren, wenn Workarounds oder Patches eingespielt werden sollen?
• Wie sehr vertraue ich Microsoft?
• Kann ich die durchgeführten Änderungen nach einem Patch zeitnah rückgängig machen?

Die Häufigkeit der Eingriffe durch Microsoft wird sich wahrscheinlich stark auf die Bereitschaft der Microsoft-Kunden, EM zu aktivieren oder zu deaktivieren, auswirken.

Deaktiviere ich die Funktion, kann es passieren, dass das eigene Unternehmen von einer Angriffswelle erwischt wird. Dies kann dann ggf. zu folgender Frage aus dem Management oder dem Vorstand führen: „Andere Unternehmen waren sofort geschützt! Warum war das bei uns nicht der Fall?“
Hier helfen eine genaue Betrachtung der Risiken und eine „von oben“ abgesegnete Entscheidung entweder für oder gegen den EM-Service.

Fazit

Der neue Emergency Mitigation Service in Exchange ist eine interessante Technologie, die die Sicherheit von Exchange-Servern verbessern kann. Auf der anderen Seite entsteht jedoch enormes Konfliktpotential, da man einem fremden Unternehmen Eingriffe in einen der zentralsten und wichtigsten Dienste eines jeden Unternehmens erlaubt. Ob dies für das eigene Unternehmen sinnvoll ist, ober ob man den Dienst abschaltet und mit dem Risiko eines Angriffs lebt, muss, wie so oft, jedes Unternehmen für sich selbst entscheiden.

Es wird interessant sein zu beobachten, ob diese Art der Absicherung von außen auch bei anderen Microsoft-Produkten oder Herstellern Schule machen wird.