Über Emergency Mitigations will der Software-Riese künftig gezielt Funktionen der Exchange-Server seiner Kunden stilllegen, die akut angegriffen werden. Der dafür zuständige Dienst ist Bestandteil der kumulativen September-Updates für Exchange Server 2016/2019 und standardmäßig aktiv. Das berichtet das Nachrichtenportal Heise.de.
Demnach wird bei diesem Vorgang kein Patch eingespielt, der eine Sicherheitslücke tatsächlich beseitigt. Stattdessen aktiviert Microsoft beispielsweise eine URL-Rewrite-Regel, die den Zugriff auf eine bestimmte Komponente des Administrations-Interfaces blockiert. Der reguläre Exchange-Betrieb könne so weitergehen.
Was mit den Emergency Migitations möglich ist
Laut Microsoft gibt es drei verschiedene Typen von Mitigations, die auf diesem Weg ausgerollt werden können:
- URL-Rewrites: Das blockiert den (HTTP-)Zugriff auf bestimmte Exchange-Funktionen
- Deaktivieren von Diensten: Das legt bestimmte Exchange-Dienste lahm
- App Pools deaktivieren: Das schaltet einen ganzen App Pool des Servers ab
Aufgaben der Admins
Der Emergeny-Migitations-Dienst überprüfe stündlich, obes neue Migitations gibt, lädt diese herunter und führt sie automatisch aus. Damit sei der Server im Idealfall gegen die akuten Angriffe geschützt, bis Microsoft einen richtigen Patch bereitstellt, heißt es bei heise.de. Den Patch wiederum muss der Admin dann selbst einspielen. Auch das Deaktivieren der von Microsoft aktivierten Mitigations bleibe an ihm oder ihr hängen.
Auch sei der Dienst zum Abruf und Aktivieren der Emergency Migitations standardmäßig aktiv. Administratoren können ihn jedoch abschalten oder das automatische Anwenden der Mitigations für einzelne Server oder organisationsweit blockieren.
Skepsis unter Experten
Unter Fachleuten ist der "Notschalter" allerdings umstritten: Serverbetreiber geben damit einen Teil ihrer Souveränität auf. Schließlich könnte Microsoft seinen Server auf diesem Weg jederzeit lahmlegen oder zumindest durch unachtsames "mitigieren" ernste Probleme verursachen. Andererseits könne Microsoft auf diese Weise kritische Sicherheitslücken innerhalb von Stunden entschärfen oder zumindest akute Angriffswellen ins Leere laufen lassen, heißt es auf dem Internetportal. (sg)
