Mit einer One-Click-Lösung möchte Microsoft die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen, welche die dafür namensgebende Hacker-Gruppe Hafnium zuvor bereits ausgenutzt hatten.
Mit dem sogenannten „One-Click Microsoft Exchange On-Premises Mitigation Tool“ bietet Microsoft jetzt eine One-Click-Lösung zur Schließung der Schwachstellen an, wie das Unternehmen in seinem Blog bekanntgegeben hat.
Das „One-Click Microsoft Exchange On-Premises Mitigation Tool“ schließt die Hafnium-Exploits (Bild: Microsoft)
Sicherheitslösung arbeitet in zwei Schritten
Anwender, die das One-Click-Tool herunterladen und ausführen, erhalten zunächst alle bekannten Patches und Sicherheitsupdates um die Sicherheitslücken, welche die unter CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 sowie CVE-2021-27065 katalogisierten Schwachstellen ausnutzen, mithilfe einer sogenannten URL-Rewrite-Konfiguration zu schließen.
Wie Community-Mitglied „Rickmer“ richtig angemerkt hat, muss das eigentliche Patching aber weiterhin vom Administrator durchgeführt werden.
Anschließend wird der Exchange-Server mit dem Microsoft Safety Scanner auf entsprechende Malware gescannt und bei Befall versucht, die von der Schadsoftware durchgeführten Änderungen rückgängig zu machen.
Microsoft empfiehlt allen Anwendern und Administratoren, welche den verfügbaren Patch bislang nicht eingespielt haben, wie folgt vorzugehen.
We recommend that all customers who have not yet applied the on-premises Exchange security update:
Download this tool.
Run it on your Exchange servers immediately.
Then, follow the more detailed guidance here to ensure that your on-premises Exchange is protected.
If you are already using Microsoft Safety Scanner, it is still live and we recommend keeping this running as it can be used to help with additional mitigations.
One-Click Microsoft Exchange On-Premises Mitigation Tool, Microsoft
Microsoft weißt zudem noch einmal darauf hin, dass auch bei der Verwendung des One-Click-Tools gewisse Dinge zu beachten und Maßnahmen zu treffen sind.
Before running the tool, you should understand:
The Exchange On-premises Mitigation Tool is effective against the attacks we have seen so far, but is not guaranteed to mitigate all possible future attack techniques. This tool should only be used as a temporary mitigation until your Exchange servers can be fully updated as outlined in our previous guidance.
We recommend this script over the previous ExchangeMitigations.ps1 script as it tuned based on the latest threat intelligence. If you have already started with the other script, it is fine to switch to this one.
This is a recommended approach for Exchange deployments with Internet access and for those who want to attempt automated remediation.
Thus far, we have not observed any impact to Exchange Server functionality when these mitigation methods are deployed.
One-Click Microsoft Exchange On-Premises Mitigation Tool, Microsoft
BSI gibt Empfehlungen
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein entsprechendes Dokument veröffentlicht und informiert darin noch einmal im Detail über die Schwachstellen und die empfohlenen Schritte um diese zu schließen.
Fabian und 
Jan-Frederik