Auch zwei Wochen nach dem Bekanntwerden schwerer Sicherheitslücken in Microsoft Exchange sind viele Systemadministratoren noch mit den Aufräumarbeiten beschäftigt. Nun will der Softwarehersteller seinen Kunden mit einem neuen Tool zur Hand gehen.

Ablauf

Unter dem Namen "Exchange on-Premises Mitigation Tool" (EOMT) hat Microsoft ein Programm veröffentlicht, das verspricht, über den Hack mit Schadsoftware versehene Server mit wenigen Klicks zu bereinigen. Gedacht ist dies vor allem für kleinere und mittlere Unternehmen, die oft kein eigenes Sicherheitsteam haben. Dabei schützt das Tool zunächst einmal davor, dass die erste – Proxylogon genannte – Lücke ausgenutzt werden kann, danach wird der Microsoft Security Scanner installiert, um nach etwaigem Schadcode zu suchen.

Microsoft verspricht, dass das Tool gegen derzeit bekannte Attacken schützt und etwaige installierte Hintertüren effektiv entfernt. Gleichzeitig gilt es zu betonen, dass so etwas nur eine Art erste Hilfe darstellt. Immerhin kann es nur vor bekannten Attacken schützen, aber nicht gegen Angreifer, die individuellere Wege gewählt haben – oder wählen werden. Es ist also keinesfalls ein kompletter Ersatz für das umgehende Updaten aller betroffenen Systeme – und auch nicht für eine anschließende eingängige Untersuchung der Systeme, um verdächtige Aktivitäten aufzuspüren.

Möglichkeiten

EOMT arbeitet laut Microsoft mit Exchange 2013, 2016 und 2019 zusammen. Die Aktivitäten des Tools werden dabei mitprotokolliert und lassen sich am Ende des Prozesses unter C:\EOMTSummary.txt nachlesen.

Die Attacken gegen Exchange-Server hatten in den vergangenen Wochen für einige Aufregung gesorgt. Wurden dabei doch weltweit hunderttausende Server von mehreren Hackergruppen übernommen. Seit einigen Tagen kursiert auch eine Ransomware namens Dear Cry, die sich die Exchange-Lücken für erpresserische Zwecke zunutze macht. (apo, 18.3.2021)