{"id":308070,"date":"2025-01-27T00:03:29","date_gmt":"2025-01-26T23:03:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308070"},"modified":"2025-02-01T01:01:54","modified_gmt":"2025-02-01T00:01:54","slug":"exchange-emergency-mitigation-service-nur-fuer-aktuelle-systeme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/01\/27\/exchange-emergency-mitigation-service-nur-fuer-aktuelle-systeme\/","title":{"rendered":"Exchange Emergency Mitigation Service nur f\u00fcr aktuelle Systeme"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" class=\"\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left; border-width: 0px;\" title=\"Exchange Logo\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2022\/06\/Exchange.jpg\" alt=\"Exchange Logo\" width=\"145\" height=\"127\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/02\/01\/exchange-emergency-mitigation-service-for-patched-systems-only\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Seit September 2021 stellt Microsoft f\u00fcr Exchange Server den Exchange Emergency Mitigation Service (EEMS) zur besseren Exchange-Absicherung bereit. Dieser Dienst funktioniert aber nur auf Systemen, die auch aktuell sind. Auf diesen Sachverhalt hat Microsoft Ende letzter Woche explizit hingewiesen.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick: Exchange Emergency Mitigation Service (EEMS)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/64ec508174b749d6b71ed88ebb60aaaf\" alt=\"\" width=\"1\" height=\"1\" \/>Der Exchange Emergency Mitigation-Dienst (EM)\u00a0<a href=\"https:\/\/docs.microsoft.com\/en-us\/exchange\/exchange-emergency-mitigation-service?view=exchserver-2019\" target=\"_blank\" rel=\"noopener\">dient dazu<\/a>, Exchange-Server durch die Anwendung von Abhilfema\u00dfnahmen gegen potenzielle Bedrohungen zu sch\u00fctzen. Wird ein gravierendes Sicherheitsproblem in der Exchange-Software festgestellt, kann dieser Dienst die ben\u00f6tigten Schritte einleiten, um die Schwachstellen automatisch auf den Microsoft Exchange Servern zu entsch\u00e4rfen oder zu beseitigen. Microsoft nennt drei Arten von Konfigurations\u00e4nderungen als Abhilfe zur Beseitigung von Schwachstellen (Mitigation):<\/p>\n<ul>\n<li><strong>Mitigation der IIS-URL-Rewrite-Regel<\/strong>: Hierbei handelt es sich um eine Regel, die bestimmte Muster b\u00f6sartiger HTTP-Anfragen blockiert, die einen Exchange-Server gef\u00e4hrden k\u00f6nnen.<\/li>\n<li><strong>Exchange-Dienst-Mitigation:<\/strong>\u00a0Damit wird ein anf\u00e4lliger Dienst auf einem Exchange-Server deaktiviert.<\/li>\n<li><strong>App Pool Mitigation:<\/strong>\u00a0Deaktiviert einen anf\u00e4lligen App Pool auf einem Exchange-Server.<\/li>\n<\/ul>\n<p>Sobald Microsoft einen neuen Angriff feststellt, werden diese tempor\u00e4re Abschw\u00e4chungen \u00fcber EM an alle Exchange-Server weltweit verteilt und die Arbeit an einem Software-Patch aufgenommen. Der Dienst nutzt den Cloud-basierten Office Config Service (OCS), um nach verf\u00fcgbaren Abhilfema\u00dfnahmen zu suchen und diese herunterzuladen sowie Diagnosedaten an Microsoft zu senden.<\/p>\n<p>Der EM-Dienst wird als Windows-Dienst auf einem Exchange-Mail-Server ausgef\u00fchrt, sobald die CU vom September 2021 (oder sp\u00e4ter) auf Exchange Server 2016 oder Exchange Server 2019 installiert wird. Der EM-Dienst wird automatisch auf Exchange-Servern mit der Mailbox-Rolle installiert. Der EM-Dienst wird nicht auf Edge-Transport-Servern installiert. Die Verwendung des EM-Dienstes ist aber optional und diese Funktion kann deaktiviert werden.<\/p>\n<p>Ich hatte \u00fcber das neue Feature im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/09\/27\/exchange-server-september-2021-cu-kommt-zum-28-9-2021-mit-microsoft-exchange-emergency-mitigation-service\/\" rel=\"bookmark\">Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service<\/a> berichtet.\u00a0Details lassen sich\u00a0<a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/new-security-feature-in-september-2021-cumulative-update-for\/ba-p\/2783155#.YU4fjvvSK2c.twitter\" target=\"_blank\" rel=\"noopener\">dem Techcommunity-Beitrag<\/a>\u00a0und\u00a0<a href=\"https:\/\/docs.microsoft.com\/en-us\/exchange\/exchange-emergency-mitigation-service?view=exchserver-2019\" target=\"_blank\" rel=\"noopener\">diesem Microsoft-Supportbeitrag<\/a>\u00a0entnehmen.<\/p>\n<h2>EEMS funktioniert k\u00fcnftig nur auf aktuellen Systemen<\/h2>\n<p>Nun hat Microsoft zum 24. Januar 2025 im Technet-Beitrag\u00a0<a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/exchange-emergency-mitigation-service-might-not-work-for-servers-significantly-o\/4370312\" target=\"_blank\" rel=\"noopener\">Exchange Emergency Mitigation Service might not work for servers significantly out of date<\/a> auf ein gewisses Problem hingewiesen.<\/p>\n<p><a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/exchange-emergency-mitigation-service-might-not-work-for-servers-significantly-o\/4370312\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Exchange EEMS \" src=\"https:\/\/i.postimg.cc\/jqm5ryXc\/image.png\" alt=\"Exchange EEMS \" width=\"513\" height=\"444\" \/><\/a><\/p>\n<p>Drau\u00dfen im Feld laufen oft Exchange-Installationen, die nicht mehr auf dem aktuellen Patchstand, und oft hoffnungslos veraltet sind. Ich verweise auf meinen Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2024\/09\/27\/microsoft-exchange-server-2016-2019-cert-bund-warnt-vor-12-000-ungepatchten-servern\/\">Microsoft Exchange Server 2016\/2019: CERT-Bund warnt vor ~ 12.000 ungepatchten Servern<\/a>, wo ich folgende Auflistung des BSI gezeigt habe.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/pL1Y7y4z\/image.png\" alt=\"Exchange Server 2016\/2019 mit Sicherheitsl\u00fccken\" width=\"590\" height=\"560\" \/><\/p>\n<p>Laut CERT-Bund waren im Sept. 2024 ingesamt <span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">28% der\u00a0<span class=\"r-18u37iz\">Exchange<\/span>-Server 2016\/2019 in Deutschland nicht auf dem aktuellen Patchstand und anf\u00e4llig f\u00fcr zig Schwachstellen, f\u00fcr die es seit Monaten Updates gab. Bei <\/span><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">15% der Exchange Server, dass sind ca. 6.500 Systeme, wurde der letzte Patch sogar vor \u00fcber 12 Monaten eingespielt.<\/span><\/p>\n<p>Das f\u00fchrt schlicht und ergreifend zu steigenden Problemen f\u00fcr die Entwickler. Daher zieht Microsoft eine Art Notbremse und k\u00fcndigt \u00c4nderungen f\u00fcr die Zukunft an. Microsoft informiert daher \u00fcber zuk\u00fcnftige \u00c4nderungen.<\/p>\n<h3>Zertifikatstypen ausgelaufen<\/h3>\n<p>Einer der \u00e4lteren Zertifikatstypen im Office Configuration Service (OCS) ist ausgelaufen. Ein neues Zertifikat wurde bereits in OCS bereitgestellt. Jeder Exchange Server, der auf ein kumulatives Exchange Server-Update (CU) oder ein Sicherheitsupdate (SU) aktualisiert wird, das neuer als M\u00e4rz 2023 ist, verf\u00fcgt \u00fcber das aktualisierte Zertifikat. Diese Exchange Server kann weiterhin nach neuen EEMS-Abschw\u00e4chungen suchen.<\/p>\n<h3>Folgen eines fehlenden Zertifikats<\/h3>\n<p>EEMS, auf dem Exchange-Versionen \u00e4lter als M\u00e4rz 2023 ausgef\u00fchrt werden, ist laut Microsoft nicht in der Lage, den Office Configuration Service (OCS) zu kontaktieren, um nach neuen Mitigationsdefinitionen zu suchen und diese herunterzuladen. Im Anwendungsprotokoll des Servers wird m\u00f6glicherweise ein Ereignis wie das folgende protokolliert:<\/p>\n<pre>Error, MSExchange Mitigation Service \r\nEvent ID: 1008\r\nAn unexpected exception occurred. \r\nDiagnostic information: Exception encountered while fetching mitigations.<\/pre>\n<p>Zudem wird folgendes wird in das EEMS-Protokoll aufgenommen:<\/p>\n<pre>FetchMitigation,S:LogLevel=Warning;S:Message=Connection attempted against untrusted endpoint<\/pre>\n<p>Zudem schl\u00e4gt die Ausf\u00fchrung des Skripts $exscripts\\Get-Mitigations.ps1 mit der folgenden Meldung fehl:<\/p>\n<pre>WARNING: Connection with Mitigation Endpoint was not successful. To enable connectivity please refer: https:\/\/aka.ms\/HelpConnectivityEEMS<\/pre>\n<p>Microsoft fordert Administratoren daher auf, falls ihre Server nicht mehr auf dem neuesten Stand sind, diese so schnell wie m\u00f6glich zu aktualisieren. Danach ist der Exchange-Server erneut zu aktivieren, um die EEMS-Regeln anschlie\u00dfend zu \u00fcberpr\u00fcfen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Seit September 2021 stellt Microsoft f\u00fcr Exchange Server den Exchange Emergency Mitigation Service (EEMS) zur besseren Exchange-Absicherung bereit. Dieser Dienst funktioniert aber nur auf Systemen, die auch aktuell sind. Auf diesen Sachverhalt hat Microsoft Ende letzter Woche explizit hingewiesen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328],"class_list":["post-308070","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308070","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308070"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308070\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308070"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308070"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308070"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}