HAFNIUM: EOMT von Microsoft sichert ungepatchte Exchange Server ab

Microsoft stellt das Tool „Exchange On-premises Mitigation Tool (EOMT) zu Absicherung ungepatchter Exchange Server zum Download bereit:

EOMT sichert zunächst mittels URL-Rewrite den Exchange Server gegen die Schwachstelle CVE-2021-26855 ab und lädt dann den Microsoft Safty Scanner runter um den Server auf einen erfolgreichen Angriff zu untersuchen. EOMT installiert allerdings nicht die verfügbaren Updates sondern implementiert nur einen Workaround, die Updates müssen also separat installiert werden.

EOMT soll also Admins helfen, die nicht so schnell die Server patchen können, beispielsweise weil die Systeme bei vielen Kunden verteilt stehen. Bei EOMT handelt es sich wie auch schon bei „ExchangeMitigations.ps1“ um ein PowerShell Script, welches zusätzlich versucht, Auswirkungen eines erfolgreichen Angriffs zu beheben. Ob das wirklich so funktioniert, müsste mal jemand Betroffenes ausprobieren. Vielleicht lässt sich ja so eine Neuinstallation des Servers vermeiden. Inwieweit man dem Tool allerdings vertrauen will, bleibt jedem selbst überlassen. EMOT scannt auch nur den Exchange Server, es kann nicht feststellen, ob ein Angreifer bereits tiefer ins Netzwerk vorgedrungen ist.

Wichtig: Verwundbare Exchange Server müssen mit den Updates versorgt werden, EOMT soll hier nur für etwas mehr Zeit sorgen. Auch wer bereits die Updates installiert hat, kann mit EOMT überprüfen, ob es Hinweise auf einen erfolgreichen Angriff gibt:

HAFNIUM: Tool von Microsoft sichert ungepatchte Exchange Server ab

EOMT kann einfach via PowerShell ausgeführt werden und läuft dann automatisch durch. Der Server muss Zugriff auf das Internet haben, damit der Safty Scanner und das IIS-Rewrite Module runtergeladen werden kann. Das Script läuft dann selbstständig durch:

EOMT Script

Nachdem Das Script durchgelaufen ist, findet sich das Logfile unter C:\

EOMTSummary

In der Datei EOMTSummary.txt findet sich auch das Verzeichnis, wo weitere Logs aufgezeichnet wurden.

21 Gedanken zu „HAFNIUM: EOMT von Microsoft sichert ungepatchte Exchange Server ab“

  1. Hallo Frank,
    wenn ich mich im Bekanntenkreis umhöre und sehe das fast 100% der ungepatchten Server bereits ab dem 3. oder 4. März angegriffen wurden bezweifele ich den Sinn des Tools.
    Pikanterweise scheinen ja die ungepatchten 2010er wesentlich unanfälliger weil sie nicht die gesamte Bandbreite an Sicherheitslücken aufwiesen. Oder die Hacker hatten mit den Firmen Mitleid die immer noch so alte Systeme einsetzen und dachten sich dass da eh nichts zu holen ist ;-)
    Es ist aber schön mit dem Tool dem Kunden noch mal zeigen zu können das nach jetzigem Kenntnisstand alles in Ordnung ist und man den Zugriff von extern wieder freigeben kann. Oder sollte man lieber noch ein paar Tage abwarten bis näheres bekannt ist?
    Aber ich habe den Eindruck dass es ja je nach Hackergruppe sehr unterschiedliche Ansätze gibt so dass eine generelle Abschätzung sehr schwierig ist. Und wenn man keine Firewall hat die alles penibel dokumentiert (so wie bei den meisten meiner Kunden die VPN-Router mit einfacher Firewall nutzen) wird es bei fehlenden WebEx ja auch sehr schwierig im Nachhinein noch den möglichen Schaden bei einem Befall nachzuvollziehen. Der MS Safety Scanner ist ja auch nicht unbedingt das Mittel der Wahl weil ja die gefundenen Bedrohungen einfach entfernt werden oft ohne dass man erfährt was da gelöscht wurde (unabhängig von der sehr langen Laufzeit beim Full Scan). Jedenfalls wurde auf etlichen Systemen was gemeldet mit Angabe der Bedrohung, auf vielen aber während des Laufes eine Anzahl an Bedrohungen gelistet, und dann war er plötzlich fertig und sagte alles wäre gut und keine Bedrohungen gefunden. Gibt es da bekannte Probleme?

    Antworten
    • Hi,
      „Jedenfalls wurde auf etlichen Systemen was gemeldet mit Angabe der Bedrohung, auf vielen aber während des Laufes eine Anzahl an Bedrohungen gelistet, und dann war er plötzlich fertig und sagte alles wäre gut und keine Bedrohungen gefunden. Gibt es da bekannte Probleme?“
      Ja ist bekannt. Hier sind noch „bugs“ im Scanner. Habe einige Einträge dazu im Inet gefunden, da ich auch etwas verwundert war.
      Microsoft hat hier bestätigt, das die Anzeige am Ende entscheidend ist. Leider sieht man auch nicht welche Dateien hier wohl was haben, da der Log erst am Ende geschrieben wird und hier immer alles OK ist.

      Antworten
  2. Hallo,
    ich bekomme die von MS bereit gestellten Scripte wie z.B. EOMT.ps1 nicht zum Laufen.
    Der Aufruf wird immer mit einer Fehlermeldung „Sie müssen auf der rechten Seitte des Operators „-“ einen Wertausdruck angeben

    Antworten
  3. Ich bin noch hin- und hergerissen zwischen Scan/Patch und neu Aufsetzen.
    Bei mir sind möglicherweise 2 Exchangeserver betroffen, die erstmal komplett vom Netz genommen wurden.

    Wie wahrscheinlich schätzt ihr denn die Situation nach Scan/Bereinigung mit EOMT / Microsoft Safety Scanner (FullScan) und Installation aller Patche ein? Kann man so einen Exchange wieder an’s Netzt lassen, oder doch am Ende auf jeden Fall neu aufsetzen?

    Antworten
  4. nicht auf aktuellerem CU level ausführen. das derzeitige EOMT hat eine falsche Prüfroutine für den Check ob ein Server Anfällig ist oder nicht.

    Antworten
  5. Hallo,

    na da hätte ich mal früher hier kucken sollen.
    EOMT in aktueller Version 21.03.17.2012 bringt mir bei meinem
    Exchange 2016 mit CU20 „is vulnerable“ und wendet die mitigations an.
    Kann mir jemand sagen ob das jetzt ein Problem werden kann?

    Danke und VG!
    Gero

    Antworten
    • lass deine version vom script nochmal laufen mit dem parameter RollbackMitigation

      dann hol dir von github die aktuelle version, wo das gefixed ist und cu20 als sicher angesehen wird, und lass dann halt nochmal diese laufen.

      Antworten
        • Hatte es damals beim Exchange 2019 CU 7 mit dem Sicherheitsupdate geschlossen und es kam beim testen auch das es soweit passt.

          Nun gerade CU7 auf CU9 geupdated, Sicherheitsupdates gabs keins und wenn ich nun teste mit 21.03.18.0954 sagt er bei mir: is vulnerable: applying mitigation

          Hab die aktuelle Version von EOMT genommen gerade…

          Jemand eine Idee ?

    • hab heute morgen mal noch Rollback gemacht vorsichtshalber.

      so nun aktuell kann ich dort die Version: 21.03.18.2345 runterladen, also wohl nochmal neuer…

      damit wendet er es wieder an und gibt noch folgendes zusätzlich aus:

      AUSFÜHRLICH: For long-term protection, please use Microsoft Update to install the latest Security Update for Exchange
      Server (KB5000871).

      Für Exchange Server 2019 CU9 gibt es kein Sicherheitsupdate KB5000871….

      hab jetzt wieder Rollback gemacht und lass es so.

      Auf der CU9 Download Seite von MS steht ja das die März Security Updates enthalten sind.

      Nur bin normal ein Freund von sowas nochmal zu überprüfen statt blind drauf zu vertrauen das es auch mit dem CU9 passt.

      Antworten
  6. Ich hätte eine Frage – mit dem Test-ProxyLogon kann man ja prüfen ob laut den Logs ein Angriff stattgefunden hat.
    Standardmässig werden ja nur 30 Tage gespeichert, jetzt habe ich die Logs der letzten 3 Monate zurückgesichert, wenn ich diese aber in das Log Verzeichnis einspiele werden diese automatisch gelöscht.

    Wie kann ich diese Logs prüfen, bzw. gibt es ein Commando mit dem ich sagen kann bitte die letzten 3 Monate prüfen in folgendem Verzeichnis?

    DANKE

    Antworten
  7. Hallo zusammen,
    habe einen EX2019 mit aktuellem CU9.
    Trotz diesem, neuen, EOT:
    Version 21.03.18.2345
    führt er eine Mitigation durch… was soll ich denn nun glauben???
    Ist denn das KB5000871 noch nach dem CU9 erschienen?
    Würdet ihr ein Rollback empfehlen?
    Danke für Hinweise, Gruß Thomas

    Antworten
    • Hallo,
      ich mach mal mit mir selbst hier weiter ;-)
      2 x EX2016 melden kein Probleme mit diesem EOMT.
      2x EX2019 meinen da ist etwas nötig und verändern die webconfig in c:\inetpub\wwwroot.
      Diese Änderungen sind in der webconfig der EX2016 aber nicht vorhanden…
      Ich werde da nicht so recht schlau draus… habe mich aber entschieden die Änderungen drin zu lassen (eigentlich sind es zusätzliche Einträge).
      Gruß Thomas

      Antworten
  8. Hallo,

    bei uns laufen die lets encrypt scripte nicht mehr erfolgreich durch. Es kommt immer der Fehler „order not ready“ Ich habe den Verdacht, dass es am EOMT tool liegt. Der Zugriff auf den IIS über Port 80 ist seitdem nicht mehr möglich. Kann mir das jemand bestätigen oder sogar eine Lösung anbieten.

    Antworten

Schreibe einen Kommentar