Microsoft: Verbesserter Schutz vor MitM-Attacken in Exchange

Der Exchange-Server in der lokal installierten Variante erhält weiter neue Sicherheitsfunktionen. Microsoft hat jetzt angekündigt, HTTP Strict Transport Security (HSTS) für Exchange 2016 und 2019 sowie Extended Protection für Exchange 2019 anzubieten. Letzteres wird standardmäßig mit dem kommenden 2023-H2-Update für Exchange 2019 aktiviert. Beide Mechanismen sollen Adversary-in-the-Middle-Angriffe (AitM) unterbinden – auch als Man-in-the-Middle (MitM) bekannt.

Für Outlook Web Access (OWA) oder das Exchange Control Panel (ECP) soll HSTS die Nutzung von TLS-Verschlüsselung erzwingen. In der Ankündigung schreibt Microsoft, dass der Mechanismus AitM-Angriffe, bei denen bösartige Akteure etwa die Nutzung schwächer geschützter Protokolle erzwingen wollen, erkennt und die Verbindung kappt. Browser-Nutzerinnen und -Nutzer könnten dadurch zudem keine Zertifikatswarnungen umgehen. Eine Anleitung, wie IT-Verantwortliche HSTS auf ihrem Exchange-Server aktivieren, liefert Microsoft ebenfalls.

Microsoft Exchange: Mehrere Sicherheitsmechanismen

Der Schutzmechanismus "Extended Protection" (EP) soll ebenfalls vor AitM-Angriffen schützen. Mit dem kommenden Update 2023-H2 für Microsoft Exchange 2019, auch unter dem Namen CU14 geführt, aktiviert der Hersteller die Funktion standardmäßig. Microsoft beschreibt die Funktion in der Ankündigung abstrakt so: "Extended Protection ermöglicht innerhalb der Windows-Authentifizierung in IIS eine Bindung zwischen den auf der Anwendungsschicht übergebenen Authentifizierungsinformationen und der TLS-Kapselung auf den unteren Ebenen des Protokollstapels. Die Authentifizierungsinformationen werden ebenfalls ergänzt, indem der Namespace, auf den der Client zugreift, der Verbindung hinzugefügt wird".

Wenn Angreifer Verbindungen in einer AitM-Position nicht über Rechner aus dem erwarteten Namespace leiten, akzeptiert EP die Pakete nicht. Der Namespace ist eine Liste an erlaubten Namen, bestehend aus Fully Qualified Domain Names (FQDN) oder Netbios-Namen von Rechnern und Systemen. Wenn bösartige Akteure die TLS-Informationen zwischen Client und Server manipulieren, wird die Bindung ungültig und die Authentifizierungsanfrage schlägt fehl. Genauere Details und Erläuterungen zur Extended Protection finden Interessierte in einem Artikel von Microsoft.

Microsoft empfiehlt, Extended Protection ab Exchange 2019 mit dem Patchstand August 2022 SU zu aktivieren. Wenn das kumulative Update CU14 erscheint, sollen IT-Verantwortliche es bei aktivierter EP einfach überinstallieren. Das schaltet den Schutz gegebenenfalls an. Wer das nicht möchte, muss die Kommandozeilenversion des Setups bemühen und per nicht genanntem Opt-out-Parameter die Aktivierung von EP unterbinden.

Wer ältere Exchange-Installationen betreibt, dem schicken die Microsoft-Mitarbeiter ihre Gedanken und Gebete und den freundlichen, aber bestimmten Rat, die Server auf den aktuellen Service-Pack-Stand zu hieven ("We send you thoughts and prayers, and very strong but gentle guidance to update your servers to the latest SU immediately."). Microsoft treibt das Thema Sicherheit weiter voran. Am Montag dieser Woche wurde bekannt, dass Microsoft in kommenden Windows-Versionen die alten, als unsicher geltenden TLS-1.0 und -1.1-Varianten deaktivieren will – sowohl auf Desktops als auch auf Servern.

(dmk)