Microsoft kijkt naar fix voor automatisch geïnstalleerde overbodige Exchange-mitigaties

[Captain Kirk]

Microsoft onderzoekt of automatisch geïnstalleerde mitigaties op Exchange-servers die overbodig zijn weer automatisch kunnen worden verwijderd, aangezien dat nu handmatig moet gebeuren wat een probleem voor systeembeheerders kan zijn. Tevens gaat het techbedrijf beheerders van Exchange-servers mogelijk waarschuwen wanneer er automatisch een mitigatie op hun server wordt geïnstalleerd.

Vorige week rolde Microsoft een nieuwe Cumulative Update voor Exchange uit die onder ander de Emergency Mitigation-service op servers installeert. Deze service zal automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers installeren. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende en actief aangevallen kwetsbaarheden voorkomen. Dit moet Exchange-servers tegen aanvallen beschermen. De feature staat standaard ingeschakeld, maar is door beheerders uit te schakelen.

Microsoft stelt dat het naar aanleiding van de uitrol van de Exchange Emergency Mitigation-service "opbouwende kritiek" van klanten kreeg. Zo moeten automatisch geïnstalleerde mitigaties handmatig door Exchange-beheerders worden verwijderd na het installeren van de betreffende beveiligingsupdate. "Het installeren van een beveiligingsupdate die het gemitigeerde probleem verhelpt verwijdert niet de mitigatie van de server. In plaats daarvan moet een beheerder eerst de beveiligingsupdate installeren en dan de mitigaties verwijderen die niet langer van toepassing zijn", aldus Microsoft.

Het techbedrijf zegt dat het begrijpt dat het een belasting voor systeembeheerders is om iets handmatig te verwijderen dat automatisch op de server is geïnstalleerd. Daarnaast is het een probleem om uit te zoeken welke mitigaties kunnen worden verwijderd en welke niet. Daarom kijkt Microsoft nu of het overbodige Exchange-mitigaties die automatisch zijn geïnstalleerd ook automatisch weer kan verwijderen, bijvoorbeeld bij de installatie van de betreffende beveiligingsupdate.

Melding

Een ander kritiekpunt is dat systeembeheerders willen weten wanneer er zonder hun tussenkomst een mitigatie op de Exchange-server is geïnstalleerd. Microsoft stelt dat dit in de logs wordt vermeld. "Maar we beseffen ook de noodzaak voor beheerders om in real-time te weten wanneer een mitigatie is geïnstalleerd of niet", aldus Microsoft. Dat gaat daarom kijken of het beheerders kan waarschuwen voor de installatie van een mitigatie.

Afsluitend laat het techbedrijf weten dat bij een aantal organisaties de Exchange Emergency Mitigation-service standaard stond uitgeschakeld in plaats van ingeschakeld. Er wordt nu onderzocht hoe dit kon gebeuren. In de tussentijd is het mogelijk om de service handmatig in te schakelen.

 

bron: https://www.security.nl