Microsoft Exchange 2016 – Aktivierung der Extended Protection

Mitigation des Exchange CVE-2024-21410

Derzeit stellen sich viele Leute die Frage: Wie kann ich die Sicherheitslücke CVE-2024-21410 in meinem Exchange Server schließen? Hat die Mitigation Auswirkungen auf meine Exchange Organisation?

Nun, das ist nicht so einfach zu beantworten. Grundsätzlich gilt, um das Sicherheitsloch zu schließen muss die sogenannte Exchange Extended Protection aktiviert werden. Diese soll dafür sorgen, dass sogenannte „man-in-the-middle“ Attacken verhindert werden.

Für Exchange 2019 wird die EP mit dem CU14 aktiviert (außer der Nutzer deaktiviert das Feature wissentlich bei der Installation). Doch wie verhält es sich bei Exchange 2016?

Grundsätzlich muss sichergestellt sein, dass ein eventuell vorgeschalteter LoadBalancer kein TLS-Offloading nutzt. Im Normalfall macht ein LoadBalancer ein ReEncrypt oder einfach eine Weiterleitung der Anfragen. Sollte jedoch ein Offloading genutzt werden, wird die Konfiguration zu Problemen führen. Des Weiteren müssen alle Komponenten auf dem Exchange auf aktuellem Stand sein. Das bedeutet, dass auf dem Exchange 2016 das aktuelle CU 23 (Minimum 15.01.2507.012 / Bei Exchange 2013 Build 15.00.1497.040) installiert sein muss und TLS1.2 auf ALLEN Exchange Servern der Organisation aktiviert sein muss. Hier kann der Exchange HealthChecker helfen, um die Konfigurationen auf dem Exchange zu überprüfen.

https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/

C:\TEMP>.\HealthChecker.ps1 -Server Exchange01,Exchange02,Exchange03

Für die Lesbarkeit sollte über den folgenden Befehl der HTML Report erstellt werden.

C:\TEMP>.\HealthChecker.ps1 -BuildHtmlServersReport

Die TLS Einstellungen auf den Servern sollten dann wie folgt ausgegeben werden (bitte für alle Server prüfen):

Zuerst einmal sollte geprüft werden, ob die EP bereits aktiviert ist. Dafür kann das PowerShell Script aus dem Microsoft GitHub genutzt werden.

https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/

Wenn dieses Script auf einem Exchange mit dem Parameter -ShowExtendedProtection gestartet wird, werden die entsprechenden Werte ausgelesen und aufgelistet.

Wie hier zu sehen, stehen alle Werte auf „None“. Das bedeutet, dass die EP auf dem Server nicht aktiv ist.

Um nun die Aktivierung der Extended Protection durchzuführen, kann das gleiche Script, ohne einen angegebenen Parameter gestartet werden.

C:\TEMP>.\ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection

Das Script prüft nun nochmal die benötigten Einstellungen und aktiviert die benötigten Parameter, damit die EP auf den Virtuellen Verzeichnissen des Exchange aktiviert wird.

Sollte es Problem mit z.B. OutlookAnywhere bei der Ausführung des Scripts geben, muss eventuell das Offloading bei OutlookAnywhere deaktiviert werden. Dies kann wie folgt durchgeführt werden:

[PS] C:>Set-OutlookAnywhere „Exchange-XY\RPC (Default Web Site)“ -SSLOffloading $false

Um den Erfolg des Scripts zu prüfen, kann erneut mit dem Parameter -ShowExtendedProtection die Konfiguration geprüft werden. Diese sollte nun wie folgt aussehen:

Wichtig ist, dass nach der Anpassung die Funktionen geprüft werden. Hierzu sollten überprüft werden ob OWA und ECP sowie die Management-Shell, als auch die Outlook Verbindungen von Intern und Extern funktionieren.

Sollte es zu Problemen kommen, kann die Konfiguration wieder auf den Ursprungszustand zurückgesetzt werden. Dafür können folgenden Befehle genutzt werden:

C:\TEMP\.ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestoreIISAppConfig“

C:\TEMP.\ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestrictTypeEWSBackend“

Diese Befehle setzen die Einstellungen in Front- und BackEnd wieder zurück. Die Sicherheitslücke bleibt allerdings dann auch bestehen.

Sollte beim Rollback ein Fehler auftreten aufgrund fehlender Backup-Files, kann per folgendem Befehl ein kompletter Rollback durchgeführt werden.

.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection

Fazit:

Vor Aktivierung der Extended Protection sollten alle Voraussetzungen geprüft werden (TLS-Einstellungen, Updatestand, TLS-Offloading auf Loadbalancer, etc.). Wenn diese alle passen, sollte es bei der Aktivierung keine Probleme geben. Sollten dennoch Probleme auftreten, kann die Einstellungen relativ schnell wieder zurückgesetzt werden. Aufgrund der derzeitigen Sicherheitslücke empfehlen wir allerdings, die Extended Protection schnellstmöglich zu aktivieren!

Wie muss ich mit meiner Exchange on-premises Umgebung umgehen? Jetzt wo Microsoft alte Exchange Server blockt?

Bereits im Mai 2023 hat Microsoft ein neues Transport-Enforcement-System für Exchange Online angekündigt, welches darauf abzielt, die Kunden vor den Risiken von veralteten oder ungepatchten Exchange-Servern zu schützen und somit die Sicherheit der Cloud zu erhöhen. Das System wird in mehreren Stufen eingeführt und betraf zunächst nur Exchange 2007/2010 Server, welche über einen OnPremises-Connector E-Mails an Exchange Online senden.  Seit Dezember 2023 betrifft dies auch Exchange 2013 Server.

Später wird es auf alle Versionen von Exchange Server und alle E-Mails, die in Exchange Online eingehen, ausgeweitet.

Was bedeutet dies genau?

Das Transport-Enforcement-System hat drei Hauptfunktionen: Berichterstattung, Drosselung und Blockierung.

Microsoft begründet diese Maßnahme mit der dringenden und zunehmenden Sicherheitsbedrohung für Kunden, die nicht unterstützte oder ungepatchte Software verwenden. Veraltete oder ungepatchte Exchange-Server sind anfällig für Sicherheitslücken, Malware, Hacking, Datenexfiltration und andere Angriffe. Microsoft verwendet das Zero Trust Sicherheitsmodell für seine Cloud-Dienste, welches erfordert, dass sich verbindende Geräte und Server als gesund und verwaltet beweisen. Server, die nicht unterstützt oder nicht gepatcht werden, sind dauerhaft verwundbar und können demnach nicht vertraut werden.

Kurzum bedeutet das, Microsoft wird Nachrichten von älteren, nicht unterstützten Exchange-Servern blockieren. Wenn diese über einen eingehenden Connector von einem nicht unterstützten Exchange-Server zu Exchange Online gesendet werden. Die Exchange-Server, die den Connector hosten, müssen somit auf eine unterstützte Version von Exchange 2016 oder Exchange 2019 aktualisiert und regelmäßig gepatcht werden.

Stufenweiser Rollout: Microsoft führt einen stufenweisen Rollout durch, um den Administratoren Zeit zu geben, ihre Server zu überprüfen und zu aktualisieren. Die Durchsetzung beginnt mit einer 30-tägigen Berichtsphase, gefolgt von einer zunehmenden Drosselung und Blockierung des Nachrichtenflusses. Wenn die Server innerhalb von 90 Tagen nach dem ersten Bericht nicht aktualisiert werden, wird der gesamte Nachrichtenfluss über den Connector blockiert.

Timeline

Verlängerungsmöglichkeit: Microsoft ermöglicht es den Administratoren eine Verlängerung zu beantragen, wenn sie mehr Zeit benötigen, um Updates zu testen. Wichtig: Sie können die Verlängerung maximal für 90 Kalendertage vornehmen.

Exchange On-Premises vs. Exchange Online: Microsoft wird weiterhin sowohl Exchange On-Premises als auch Exchange Online vollständig unterstützen. Microsoft ist bewusst, dass viele Kunden noch eine Exchange-Hybridkonfigurationen benötigen.

Nächste Schritte:

Sie sollten nun ihre Hybrid-Exchange-Konfiguration überprüfen und entscheiden, ob sie Exchange On-Premises behalten oder komplett zu Exchange Online wechseln wollen.

Wie nutze ich die Verlängerungsmöglichkeit?

Verwenden Sie hierzu das Exchange Admin Center (EAC)

  • Navigieren Sie zu Reports -> Mail flow -> Out-of-date connection on-premises Exchange servers
  • Klicken Sie im Report auf Enforcement Pause

Wählen sie Anschluss die Anzahl der Tage aus (maximal 90 Kalendertage)

Bin ich bereits betroffen?

Wenn Ihre veralteten lokalen Exchange Server gedrosselt oder blockiert werden, werden Sie mindestens einen der folgenden Fehler in Ihren lokalen E-Mail-Protokollen sehen:

4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for n mins/hr.
5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for n mins/hr. 

Exchange Server Security Updates Februar 2023

….und täglich grüßt das Murmeltier!

Microsoft hat wieder neue Sicherheitsupdates für Exchange 2013, 2016 und 2019 veröffentlicht. Die SUs vom Februar 2023 schließen Sicherheitslücken, welche von den Sicherheitspartnern von Microsoft gemeldet aber auch durch die internen Prozesse von Microsoft gefunden wurden. Aktuell sind laut Microsoft keine aktiven Exploits im Internet bekannt.

Dennoch empfehlen wir eine asap Aktualisierung der betroffenen Exchange Server.

Details zu den geschlossenen Schwachstellen finden sich hier:

Den offiziellen Artikel des Microsofts Exchange Team Blogs finden Sie hier:

Released: February 2023 Exchange Server Security Updates – Microsoft Community Hub

Bekannte Probleme

Nach der Installation der Sicherheitsupdates und der Aktivierung der Zertifikatssignierung der Powershell werden die Exchange Toolbox und die Funktion „Queue Viewer“ nicht mehr gestartet.

Fehlermeldung:

Unhandled Exception in Managed Code Snap-in

Deserialization fails due to one SerializationException: System.Runtime.Serialization.SerializationException: The input stream is not a valid binary format. The starting contents (in bytes) are: 23-73-69-67-23-72-2A-00-00-00-01-00-00-00-FF-FF-FF … 

at System.Runtime.Serialization.Formatters.Binary.SerializationHeaderRecord.Read(__BinaryParser input)

Exception type: System.InvalidCastException

Exception

Workaround 1:

Verwenden Sie die Exchange Management Shell (EMS) und die passenden CMDLETS:

Get-Queue, Suspend-Queue, Get-Message etc.

Workaround 2:

Deaktivieren Sie die Funktion „Certificate Signing of PowerShell Serialization Payload“, bis ein Update zur Verfügung steht. Führen Sie dazu die folgenden Befehle in einer erhöhten Instanz der Exchange Management Shell aus:

Get-SettingOverride -Identity "EnableSigningVerification" | Remove-SettingOverride 

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

Restart-Service -Name W3SVC, WAS -Force 

PS: Am 11. April 2023, also in weniger als 60 Tagen, erreicht Exchange Server 2013 das End of Support!

Nach dem 11ten April wird Microsoft folgenden Support nicht mehr anbieten:

  • Technischen Support bei Problemen
  • Fehlerbehebungen für entdeckte Probleme
  • Sicherheitsbehebungen für entdeckte Schwachstellen, welche den Server anfällig für Sicherheitslücken machen können

Exchange Server 2013 läuft natürlich auch nach diesem Datum weiter; aufgrund der oben genannten Risiken empfehlen wir Ihnen jedoch dringend, so bald wie möglich von Exchange Server 2013 zu einem aktuellen Exchange Server/Online zu migrieren. Wenn Sie noch nicht mit der Migration von Exchange Server 2013 zu Exchange Online oder Exchange Server 2019 begonnen haben, sollten Sie jetzt unbedingt damit beginnen!

Cookie Consent mit Real Cookie Banner