Microsoft: Verouderde Exchange-servers slagen er niet in om beveiligingsbugs automatisch te verhelpen

Microsoft zegt dat verouderde Exchange-servers geen nieuwe nooddefinities voor mitigatie kunnen ontvangen omdat een type certificaat van de Office Configuration Service wordt uitgefaseerd.

Noodmitigaties (ook wel EEMS-mitigaties genoemd) worden geleverd via de Exchange Emergency Mitigation Service (EEMS), die drie jaar geleden in september 2021 is geïntroduceerd.

EEMS past automatisch voorlopige mitigaties toe voor risico’s op het gebied van beveiliging (die waarschijnlijk actief worden uitgebuit) om lokale Exchange-servers te beveiligen tegen aanvallen. Het detecteert Exchange-servers die kwetsbaar zijn voor bekende bedreigingen en past voorlopige mitigaties toe totdat beveiligingsupdates worden vrijgegeven.

EEMS draait als een Windows-service op Exchange Mailbox-servers en wordt automatisch geïnstalleerd op servers met de Mailbox-rol na het implementeren van de cumulatieve updates van september 2021 (of later) op Exchange Server 2016 of Exchange Server 2019.

Echter, volgens het Exchange-team, kan EEMS “geen contact opnemen” met de Office Configuration Service (OCS) en nieuwe voorlopige beveiligingsmitigaties downloaden op verouderde servers die Exchange-versies gebruiken ouder dan maart 2023, wat “Fout, MSExchange Mitigation Service” gebeurtenissen veroorzaakt.

“Een van de oudere certificaattypen in OCS wordt uitgefaseerd. Een nieuw certificaat is al in OCS geïmplementeerd, en elke server die is bijgewerkt met een Exchange Server Cumulatieve Update (CU) of Beveiligingsupdate (SU) nieuwer dan maart 2023 zal nieuwe EEMS-mitigaties kunnen blijven controleren,” zei het Exchange-team vandaag.

“Als uw servers zo verouderd zijn, werk dan uw servers zo snel mogelijk bij om uw e-mailwerkbelasting te beveiligen en uw Exchange-server in staat te stellen om EEMS-regels te controleren. Het is belangrijk om uw servers altijd up-to-date te houden. Het uitvoeren van Exchange Server Health Checker zal u altijd vertellen wat u moet doen!”

De functie werd toegevoegd nadat door de staat gesponsorde en financieel gemotiveerde hackers de ProxyLogon- en ProxyShell-zero-days, die geen patches of mitigatie-informatie hadden, uitbuitten om Exchange-servers te compromitteren.

In maart 2021 maakten ten minste tien hackinggroepen gebruik van ProxyLogon, waaronder een door China gesponsorde bedreigingsgroep die door Microsoft als Hafnium wordt aangeduid.

Microsoft riep klanten ook twee jaar geleden, in januari 2023, op om de nieuwste ondersteunde Cumulatieve Update (CU) toe te passen en hun lokale Exchange-servers up-to-date te houden om ervoor te zorgen dat ze altijd klaar zijn om noodbeveiligingsupdates te implementeren.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----