Am 18. März kündigte Microsoft an, dass die Software Microsoft Defender Antivirus automatisch die Sicherheitslücke CVE-2021-26855 entschärfen wird, eine schwere Sicherheitslücke, die aktiv in freier Wildbahn ausgenutzt wird. Diese Schwachstelle ist eine von vier, die in einer breiteren Angriffskette zur Kompromittierung von On-Premise Exchange-Servern genutzt werden kann.
Microsoft hat am 2. März Notfallkorrekturen für die Sicherheitslücken veröffentlicht und davor gewarnt, dass eine staatlich gesponserte Bedrohungsgruppe namens Hafnium die Fehler aktiv ausnutzt, und seither werden Zehntausende von Organisationen verdächtigt, angegriffen worden zu sein. Mindestens 10 weitere APT-Gruppen (Advanced Persistent Threats) haben die Chance genutzt, die sich durch langsames oder unvollständiges Patching ergeben hat.
Die Implementierung eines kürzlichen Security Intelligence Updates für Microsoft Defender Antivirus und System Center Endpoint Protection bedeutet, dass Abschwächungen auf anfällige Exchange-Server angewendet werden, wenn die Software bereitgestellt wird, ohne weitere Eingaben der Anwender.
Nach Angaben des Unternehmens erkennt Microsoft Defender Antivirus automatisch, ob ein Server anfällig ist, und wendet die Abhilfemaßnahmen einmal pro Rechner an. Wenn automatische Updates nicht aktiviert sind, wird Anwendern empfohlen, das neue Update manuell zu installieren und sicherzustellen, dass ihre Software mindestens auf Build 1.333.747.0 oder neuer aktualisiert ist. Der Cloud-Schutz ist nicht erforderlich, um den Mitigation Fix zu erhalten, aber das Unternehmen empfiehlt, dass diese Funktion aus Gründen der Best Practice aktiviert ist.
Anfang dieser Woche hat Microsoft ein One-Click Mitigation Tool veröffentlicht, das das Risiko von Exploits auf anfälligen Servern reduzieren soll, bevor vollständige Patches eingespielt werden können, und dieses Update für die Antiviren-Software des Unternehmens wurde nach dem gleichen Prinzip veröffentlicht.
Das Mitigation-Tool ist nach wie vor als alternative Möglichkeit zur Risikominimierung für anfällige Server verfügbar, wenn IT-Administratoren nicht über Defender Antivirus verfügen.
„Das Exchange-Sicherheitsupdate ist immer noch der umfassendste Weg, um Ihre Server vor diesen und anderen Angriffen zu schützen, die in früheren Versionen behoben wurden“, erklärt Microsoft. „Diese vorläufige Entschärfung wurde entwickelt, um Kunden zu schützen, während sie sich die Zeit nehmen, das neueste kumulative Exchange-Update für ihre Version von Exchange zu implementieren.“
Am 17. März hat Microsoft die vierteljährlichen kumulativen Updates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht, die auch die Sicherheitspatches zur Behebung der kritischen Sicherheitslücken enthalten.
Quelle: Microsoft Defender Antivirus behebt Sicherheitslücken in Exchange Server | ZDNet.de