Exchange Emergency Mitigation Service

Mit dem September-2021-Update von Exchange hat Microsoft mit dem Cumulative Update 11 für Exchange 2019 und dem Cumulative Update 22 für Exchange 2016 den Exchange Emergency Mitigation Service (EEMS) als neue Sicherheitsfunktion in Exchange eingebaut. EEMS prüft stündlich, ob es ein neues Regelwerk für eine Schwachstelle gibt und wendet diese Regel lokal an, um Lecks nach Möglichkeit schnell abzudichten. Die Informationen werden über den Office Config Service (OCS) mittels einer XML-Datei veröffentlicht, die sich auch direkt über das Internet aufrufen lässt [1].

In der XML-Datei finden sich bezogen auf eine vorhandene Schwachstelle bestimmte Aktionen oder Konfigurationen, die Exchange dann automatisch anwendet, um eine Schwachstelle abzumildern, bis ein entsprechendes Update veröffentlicht wird. Die Aktionen sollen also nur die Ausnutzung einer Lücke und den Angriffsweg verhindern, sie schließen diese Lücke aber nicht. Welche Aktionen Exchange dabei ausführt, klären wir im Laufe des Artikels. Zu beachten ist, dass dabei ganze Services von Exchange deaktiviert werden können, was dann natürlich Auswirkungen auf die Nutzer hat. EEMS nimmt Exchange-Admins nicht das Einspielen von Updates ab – sie müssen Fixes nach Veröffentlichung auch weiterhin händisch einspielen.

Mit der Installation der CUs vom September 2021 oder später haben sich auch die Lizenzbedingungen geändert. So wird nun abgefragt, ob Exchange Diagnosedaten an Microsoft senden darf. Übermittelt werden dabei die Exchange-Server-Version, der Status des Mitigation-Dienstes, die eindeutige Identifikationsnummer des Servers, die Org-ID sowie angewendete und blockierte Mitigations. Zwingende Voraussetzung ist die Übermittlung für die Nutzung von EEMS allerdings nicht, sodass sich die Übertragung mit dem PowerShell-Befehl »Set-ExchangeServer -Identity <Server> -DataCollectionEnabled $false« nachträglich wieder deaktivieren

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.