Henning Uhle

Wir haben es mal wieder mit dem Thema „Verwundbare Exchange Server“ zu tun. Mit schöner Regelmäßigkeit warnen Sicherheitsexperten die Admins. Jetzt auch wieder. Tausende und abertausende Exchange Server haben eine oder mehrere kritische Schwachstellen. Deshalb sind es ja verwundbare Exchange Server. Ich will mal denjenigen, die es interessiert, ein paar Worte dazu erzählen. Es kann ja sein, dass das für euch wichtig ist. Also dann mal los.

Wieso verwundbare Exchange Server?

Am 13. Februar 2024 hat Microsoft das CU 14 für Exchange Server 2019 veröffentlicht. Für den Vorgänger Exchange Server 2016 gibt es das schon nicht mehr. Naja, und etwa einen Monat später kamen für beide Versionen Security Updates heraus. Mit dem CU wurde die Extended Protection auf Windows Servern standardmäßig aktiviert. Das wurde im Sommer 2023 angekündigt. Damit soll der Schutz vor Man-in-the-Middle-Attacken gewährleistet werden.

Allerdings habe ich Kundenanfragen bearbeitet, in denen es darum ging, dass sich nach der Aktivierung der Extended Protection Outlook nicht mehr zuverlässig mit dem Postfach verbinden ließ. Entweder ging gar nichts, oder es kam eine Passwort-Aufforderung oder, oder, oder. Also nicht so das Wahre. In den allermeisten Fällen ging es aber ohne Probleme vonstatten. Und dann kam das erste Sicherheitsupdate nach dem CU 14. Und plötzlich haben wir verwundbare Exchange Server?

Ich kann ja verstehen, dass man sich mit deaktivierter Extended Protection keinen Gefallen tut. Und wenn Exchange so konfiguriert ist, wie es Microsoft vorgibt, werden solche Probleme wie die genannten minimiert. Aber nur, weil man nicht innerhalb kürzester Zeit das Sicherheitsupdate nachgepumpt hat, hat man jetzt Seuchenschleudern im Rechenzentrum stehen? Ganz ehrlich, das halte ich für etwas übertrieben. Aber so steht es beim BSI in der aktuellen Publikation.

Problematisches Update oder störrische Diva?

Ich sage ja immer, dass sich Exchange Server wie störrische Diven verhalten. Wenn man die im seelischen Gleichgewicht stört, spielen die verrückt. Man möchte dem Server dann am liebsten einen Snicker geben. Ja, so einfach ist es dann doch nicht. Ich musste jetzt einem Kunden, bei dem ich mehr Verantwortung habe, als bei vielen anderen, nahelegen, mit dem Sicherheitsupdate zu warten. Und das, obwohl ich weiß, dass es wichtig ist.

Aber ich hatte halt Kundenanfragen, in denen es hieß, dass global in der Umgebung dann die Suche in Outlook nicht mehr funktioniert und gelesene Emails als ungelesen markiert werden. Da arbeitet derzeit Microsoft dran, das Ganze in den Griff zu bekommen. Aber so lang kann ich eigentlich jeden Admin verstehen, dass der sich lieber verwundbare Exchange Server anguckt, als dass er dutzende User-Anfragen zur Suche und sowas beantwortet.

Ja, wegen der Suche gibt es einen Workaround. Aber will man sich wirklich immer mit irgendeinem Notbehelf retten? Und wo ist überhaupt das Qualitätsmanagement, wenn man es mal braucht? Ja, mit dem Sicherheitsupdate schließt Microsoft Lücken. Aber ich habe viel mit Kunden zu tun, die ihre Exchange Server eh nicht direkt ins Internet hängen. Ich bin mir nicht sicher, wie kritisch das ist, dass diese Admins dann lieber warten.

Was wäre denn meine Idee?

Oben im Artikelbild habe ich einen Screenshot von einem unserer Exchange Server hinterlegt. Wir sind hier auf Version 15.2.1544.4, was CU 14 ohne Sicherheitsupdate bedeutet. Jaja, laut BSI haben auch wir verwundbare Exchange Server. Aber unsere Server waren noch nie öffentlich im Internet verfügbar. Und so ein kolossales Monstrum wie Exchange sollte das auch lieber nicht, egal was andere behaupten.

Ich meine, wir hatten immer wieder Spaß mit diesen Updates. Ich weiß ja, dass an einer Behebung der Probleme mit dem Update gearbeitet wird. Es wird sicherlich in Kürze ein Update des Updates geben. Dass man das dann installiert, sollte keine Frage sein. Aber ich glaube, das wichtigste ist, dass jeder Admin die Notwendigkeit hinterfragen sollte, ob verwundbare Exchange Server von außerhalb erreichbar sein sollten.