Aller guten Dinge sind drei: Microsoft bessert den Workaround für die schon aktiv genutzte Zero-Day-Lücke in Exchange noch einmal nach. Jetzt bleibt den Admins nur noch zu hoffen, dass die neueste Regel für Exchange bis zum kommenden Update hält.

Es kommt einem schon fast wie ein Comic vor, dass Microsoft nach mehreren Anläufen die Regel für den Workaround gegen die Zero-Day-Sicherheitslücken im Exchange-Server noch ein weiteres Mal aktualisiert. Am letzten Wochenende kamen die IT-Experten des Herstellers zu einer angepassten Regel, welche die Administratoren jetzt in den Einstellungen des Microsoft-Mailers eintragen sollen.

Die dritte Version der Regel für Exchange im Detail

Diese jetzt aktuelle Regel vom Wochenende lautet nun: (?=.*autodiscover)(?=.*powershell).

Die Administratoren sollen diese Regel als Request-Block-Regel für Autodiscover anlegen und dabei die Option “Regular Expression” unter “Using” auswählen. Für “How to block” sollen sie die Einstellung auf “Abort Request” setzen.

Abschließend sollen die Admins die neu angelegte Regel auswählen, auf “Edit” unter “Conditions” klicken. Im Feld “Condition Input” sollen sie die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.

Nähere Erläuterungen, was an der vorhergehenden Regelwerkänderung nicht vollständig oder falsch war, liefert Microsoft im Blog-Beitrag zum Workaround der Zero-Day-Lücke in Exchange leider nicht.

Trotzdem sollten Exchange-Administratoren aber die bisher eingesetzte Regel löschen und durch die neue vom Wochenende ersetzen.

Außerdem sollten IT-Verantwortliche auch den Remote-PowerShell-Zugriff für Nicht-Administratoren deaktivieren. Mit dieser Kombination sollten Angriffe auf die Sicherheitslücken dann wirklich verhindert werden können.

Ungewöhnlich viele Änderungen beim Workaround

Schon vor knapp zwei Wochen wurden Angriffe auf bis dahin unbekannte Sicherheitslücken im Mailsystem Microsoft Exchange bekannt. Weil es zum Schließen der Schwachstellen bisher keine Patches vom Hersteller gibt, sprechen IT-Sicherheitsexperten hier von einer sogenannten Zero-Day-Lücke, und die Admins haben keine Vorlaufzeit, Maßnahmen gegen Angriffe darauf zu treffen. Dass Microsoft eine empfohlene Gegenmaßnahme dermaßen oft aktualisieren muss, ist dabei sehr ungewöhnlich.