Wie Microsoft Exchange-Server effektiver schützen will

Anfang März 2021 nutzte die Hacker-Gruppe „Hafnium“ vier Sicherheitslücken im Microsoft-Exchange-Server aus, um Systeme im großen Stil zu hacken. Trotz Notfall-Patch wurden in wenigen Stunden weltweit hunderttausende Server Opfer der Angriffe. Um auf solche Bedrohungen in Zukunft besser reagieren zu können, führte Microsoft mit den kumulativen Updates Ende September den Dienst „Emergency Mitigation“ (EM) ein. Bei „Mitigations“ handelt es sich um Regeln, die die Folgen von gefundenen Lücken mildern, indem angreifbare Funktionen abgeschaltet werden.

Exchange-Server fragen regelmäßig bei Microsoft-Servern nach, ob neue Regeln vorliegen. Sollte sich so ein Vorfall wie im März wiederholen, erstellt Microsoft eine Regel, die der EM-Dienst automatisch auf verwundbare Exchange-Server herunterlädt und direkt ausführt. Eine solche Regel blockiert beispielsweise Anfragen, die über einen bestimmten Port eintrudeln. Microsoft sperrt so auf Knopfdruck verwundbare Funktionen, um Server so lange zu schützen, bis ein Sicherheits-Patch zur Verfügung steht. Der EM-Dienst läuft ab sofort in den Exchange-Server-Versionen 2016 und 2019. Auf Wunsch können Admins die Funktion deaktivieren.