{"id":251108,"date":"2021-03-16T06:15:00","date_gmt":"2021-03-16T05:15:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251108"},"modified":"2021-03-16T14:44:52","modified_gmt":"2021-03-16T13:44:52","slug":"microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/","title":{"rendered":"Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft hat zum 15. M\u00e4rz 2021 sein onclick Microsoft Exchange (On-Premises) Mitigation Tool (EOMT) freigegeben. Das Tool soll eine one-click-L\u00f6sung zum Abschw\u00e4chen der Schachstelle CVE-2021-26855 auf On-Premises Exchange Server-Installationen erm\u00f6glichen und ist vor allem f\u00fcr Administratoren in kleineren Firmen gedacht, um \u00fcberhaupt etwas in der Hand zu haben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/deb7123ffb844635a0c93c8c95d5ff39\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte es die Nacht bei den Kollegen von Bleeping Computer schon auf <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1371615616109531138\" target=\"_blank\" rel=\"noopener\">Twitter<\/a> gesehen &#8211; Microsoft hat das Tool in <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/15\/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021\/\" target=\"_blank\" rel=\"noopener\">diesem MSRC-Blog-Beitrag<\/a> vorgestellt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1371615616109531138\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Microsoft Exchange (On-Premises) Mitigation Tool (EOMT) \" src=\"https:\/\/i.imgur.com\/vjT7z7M.png\" alt=\"Microsoft Exchange (On-Premises) Mitigation Tool (EOMT) \" \/><\/a><\/p>\n<h2>Hinweise zu EOMT<\/h2>\n<p>Gut eine Woche nachdem Microsoft die vier Schwachstellen in seinen On-Premises Exchange Servern geschlossen hat (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>) ist den Redmondern wohl klar geworden, dass vor allem die Administratoren aus kleineren Unternehmen heillos beim Bew\u00e4ltigen der Sicherheitsma\u00dfnahmen \u00fcberfordert sind. Daher haben die Entwickler quasi eine \"klicken-und-fertig\"-L\u00f6sung erstellt, die Kunden, die keine dedizierten Sicherheits- oder IT-Teams haben, sofort helfen soll, um die bereitgestellten Sicherheitsupdates anzuwenden. EOMT soll dabei folgende Aufgaben \u00fcbernehmen:<\/p>\n<ul>\n<li>Das Tool f\u00fchrt den <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/intelligence\/safety-scanner-download\">Microsoft Safety Scanner<\/a> aus. Dieses Tool scannt die Maschine auf Infektionen, kann also bekannte Malware finden und entfernen.<\/li>\n<li>Bei der Ausf\u00fchrung des Tools wird die Schwachstelle CVE-2021-26855 automatisch entsch\u00e4rft, indem das IIS-URL-Rewrite-Modul verwendet wird, um Cookie-Header zu blockieren.<\/li>\n<li>Zudem wird der Patch-Level des betreffenden Exchange Server \u00fcberpr\u00fcft und dem Administrator gemeldet.<\/li>\n<\/ul>\n<p>Das Microsoft Exchange On-Premises Mitigation Tool (EOMT) wurde von Microsoft mit Exchange Server 2013-, 2016- und 2019 getestet. Wichtig ist zu verstehen, dass dieses neue Tool nur als vorl\u00e4ufige Ma\u00dfnahme f\u00fcr Kunden gedacht ist, die mit dem Patch-\/Aktualisierungsprozess nicht vertraut sind oder die das On-Premises-Exchange-Sicherheitsupdate noch nicht angewendet haben.<\/p>\n<h2>EOMT downloaden und ausf\u00fchren<\/h2>\n<p>Das Microsoft Exchange On-Premises Mitigation Tool (EOMT) steht als PowerShell-Modul auf <a href=\"https:\/\/github.com\/microsoft\/CSS-Exchange\/tree\/main\/Security\" target=\"_blank\" rel=\"noopener\">dieser Github-Seite<\/a> von Microsoft zum kostenlosen Download bereit. Microsoft empfiehlt dieses Skript statt des auch bereitgestellten \u00e4lteren PoweShell-Script <em>ExchangeMitigations.ps1 <\/em>auszuf\u00fchren. Das Exchange On-premises Mitigation Tool l\u00e4dt automatisch alle Abh\u00e4ngigkeiten herunter und f\u00fchrt den Microsoft Safety Scanner aus. <em>EOMT.ps1<\/em> ist vollst\u00e4ndig automatisiert und verwendet bekannte, bereits dokumentierte Abhilfemethoden. Dieses Skript f\u00fchrt drei Operationen aus:<\/p>\n<p><img decoding=\"async\" title=\"Microsoft Exchange On-Premises Mitigation Tool (EOMT) \" src=\"https:\/\/i.imgur.com\/xLG7kZK.png\" alt=\"Microsoft Exchange On-Premises Mitigation Tool (EOMT) \" \/><br \/>\nMicrosoft Exchange On-Premises Mitigation Tool (EOMT), Quelle Microsoft<\/p>\n<ul>\n<li>Schutzma\u00dfnahmen gegen aktuelle bekannte Angriffe mit CVE-2021-26855 \u00fcber eine URL-Rewrite-Konfiguration ergreifen.<\/li>\n<li>Scannen des Exchange Servers mit dem Microsoft Safety Scanner um Infektionen zu erkennen.<\/li>\n<li>Versuch, die vom Microsoft Safety Scanner erkannten Kompromittierungen zu beheben.<\/li>\n<\/ul>\n<p>Dies ist ein besserer Ansatz f\u00fcr Exchange-Implementierungen mit Internetzugang und f\u00fcr Kunden, die einen schnellen Ansatz zur automatischen Behebung der Schwachstellen und ggf. Isolierung einer Infektion w\u00fcnschen bzw. ben\u00f6tigen &#8211; und keinen Zugriff auf Experten zur kurzfristigen \u00dcberpr\u00fcfung der Installation haben. Die Entwickler haben keine Auswirkungen auf die Exchange Server-Funktionalit\u00e4t durch diese Entsch\u00e4rfungsmethoden beobachtet und diese Entsch\u00e4rfungsmethoden nehmen auch keine direkten \u00c4nderungen vor, die Funktionen von Exchange deaktivieren.<\/p>\n<h3>Voraussetzungen f\u00fcr die Ausf\u00fchrung von EOMT<\/h3>\n<p>Es wird eine externe Internetverbindung von Ihrem Exchange-Server ben\u00f6tigt, da diese f\u00fcr den Download des Microsoft Safety Scanner und des IIS URL Rewrite Moduls erforderlich ist. Das PowerShell-Skript muss als Administrator ausgef\u00fchrt werden.<\/p>\n<h3>Systemanforderungen<\/h3>\n<ul>\n<li>PowerShell 3 oder h\u00f6her<\/li>\n<li>IIS 7.5 und h\u00f6her<\/li>\n<li>Exchange 2013, 2016 oder 2019<\/li>\n<li>Windows Server 2008 R2, Server 2012, Server 2012 R2, Server 2016, Server 2019<\/li>\n<\/ul>\n<h2>Bemerkungen zu EOMT<\/h2>\n<p>An dieser Stelle bin ich pers\u00f6nlich h\u00f6chst gespalten. Nat\u00fcrlich ist es gut, wenn eine \"one-click\"-L\u00f6sung existiert, um einen Exchange Server zu pr\u00fcfen, eine ggf. gefundene Infektion zu beseitigen und dann auch noch die Installation zu h\u00e4rten. Microsoft schreibt aber, dass diese quasi der erste Schuss ist, und dass dies das Patchen nicht ersetzt. Die Verantwortlichen m\u00fcssen danach den Exchange Server auf Updates und Sicherheit \u00fcberpr\u00fcfen. Zudem stellen sich prinzipielle Fragen.<\/p>\n<ul>\n<li>Problem 1: Diese L\u00f6sung kommt einfach zu sp\u00e4t und davon auszugehen ist, dass im Internet per Port 443 erreichbare Exchange Server bereits kompromittiert wurden. Es kann zwar sein, dass EOMT die Schadfunktionen in Exchange Server und dem darunter liegenden Windows Server findet und eliminiert. Aber dann sind wir beim Problem 2.<\/li>\n<li>Problem 2: Ist der Exchange Server infiziert, ist unklar, was weiter im System manipuliert wurde, ob die Angreifer vielleicht auf die Zugrunde liegende Active Directory Struktur zugegriffen und diese modifiziert haben.<\/li>\n<li>Problem 3: M\u00f6glicherweise erschwert die Ausf\u00fchrung von EOMT die forensische Analyse, um herauszufinden, was eventuell an Informationen angesehen und abgerufen wurde.<\/li>\n<li>Problem 4: Das Tool und die Abwehrma\u00dfnahmen ersetzen nicht das Patchen und es wird leider Nutzer geben, die dann das Ganze auf sich berufen lassen und keine Fachleute zur \u00dcberpr\u00fcfung der Exchange Server-Installation hinzuziehen. Damit steht die Instanz zum Abschuss f\u00fcr die n\u00e4chsten Angriffe frei.<\/li>\n<\/ul>\n<p>Speziell f\u00fcr Problem 4 sollte im Nachgang unbedingt Sachverstand zur \u00dcberpr\u00fcfung des Exchange Servers hinzugezogen werden. Ich habe im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a> ja zusammengefasst, was es an relevanten Informationen gibt.<\/p>\n<h2>Der Hintergrund: Der Exchange-Massenhack<\/h2>\n<p>In Microsofts Exchange Servern gab es vier kritische Schwachstellen, die erst am 2.\/3. M\u00e4rz 2021 durch ein au\u00dferplanm\u00e4\u00dfiges Sicherheitsupdate geschlossen wurden (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>). Problem ist, dass seit Januar 2021 Angriffe auf Exchange Server, die per Internet \u00fcber Port 443 erreichbar waren, gegeben hat. Seit Ende Februar und dann Anfang M\u00e4rz 2021 kam es dann zu Massen-Scans von Exchange Servern durch eine Hafnium genannte Angreifergruppe. Es ist davon auszugehen, dass alle ungepatchten (und viele gepatchte) Exchange Server On-Premises-Installationen kompromittiert sind. Ich habe das Thema ja in diversen Blog-Beitr\u00e4gen, die nachfolgend verlinkt sind, aufbereitet.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/\">Neues zum Exchange-Hack \u2013 Testtools von Microsoft &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat zum 15. M\u00e4rz 2021 sein onclick Microsoft Exchange (On-Premises) Mitigation Tool (EOMT) freigegeben. Das Tool soll eine one-click-L\u00f6sung zum Abschw\u00e4chen der Schachstelle CVE-2021-26855 auf On-Premises Exchange Server-Installationen erm\u00f6glichen und ist vor allem f\u00fcr Administratoren in kleineren Firmen gedacht, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328,3659],"class_list":["post-251108","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit","tag-tool"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251108","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251108"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251108\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251108"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251108"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251108"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}