Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Exchange Server

Zusammenfassung

Microsoft ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die als „spekulative ausführungsseitige Channelangriffe“ (Speculative Execution Side-Channel Attacks) bezeichnet werden und viele moderne Prozessoren und Betriebssysteme betreffen. Hierzu zählen Chipsätze von Intel, AMD und ARM.

Wir haben aktuell keine Hinweise darauf, dass diese Sicherheitsanfälligkeiten zu Angriffen auf Kunden genutzt wurden. Wir arbeiten auch weiterhin eng mit Branchenpartnern zusammen, um den Schutz der Kunden zu gewährleisten. Hierzu zählen Prozessorchiphersteller, Hardware-OEMs und App-Hersteller. Für den umfassenden Schutz sind Hardware- oder Firmwareupdates sowie Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware. Wir haben mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu reduzieren. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in der Microsoft-Sicherheitsempfehlung ADV180002. Allgemeine Anweisungen finden Sie auch unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den nachfolgenden Abschnitten.

Betroffene Exchange Server-Versionen

Da es sich hierbei um Angriffe auf Hardwareebene auf Systeme mit x64- und x86-Prozessoren handelt, sind alle unterstützten Versionen von Microsoft Exchange Server von diesem Problem betroffen.

Empfehlungen

In der folgenden Tabelle sind die empfohlenen Maßnahmen für Kunden von Exchange Server beschrieben. Derzeit sind keine speziellen Exchange-Updates erforderlich. Wir empfehlen jedoch Kunden, stets das neueste kumulative Update für Exchange Server und alle erforderlichen Sicherheitsupdates anzuwenden. Es wird empfohlen, Fixes mithilfe der regulären Verfahren bereitzustellen, um neue Binärdateien vor der Bereitstellung in Produktionsumgebungen zu validieren.

Szenario

Beschreibung

Empfehlungen

1

Exchange Server wird auf einem Bare-Metal-Computer (keine virtuellen Computer) ausgeführt und keine andere nicht vertrauenswürdige Anwendungslogik (Anwendungsebene) wird auf demselben Bare-Metal-Computer ausgeführt.

 

Wenden Sie nach den regulären Validierungstests vor dem Einsatz in der Produktionsumgebung alle System- und Exchange Server-Updates an.

Die Aktivierung von Kernel-VA-Shadow (Kernel Virtual Address Shadowing, KVAS) ist nicht erforderlich (siehe den entsprechenden Abschnitt weiter unten in diesem Artikel).

2

Exchange Server wird auf einem virtuellen Computer in einer öffentlichen Hosting-Umgebung (Cloud) ausgeführt.

Für Azure: Microsoft hat Informationen zu Risikominderungsmaßnahmen für Azure veröffentlicht (ausführliche Informationen siehe KB 4073235).

Für andere Cloudanbieter: Lesen Sie in der jeweiligen Anleitung nach.

Wir empfehlen, alle Betriebssystemupdates auf dem virtuellen Gastcomputer (VM) zu installieren.

Informationen zur Frage, ob Sie KVAS aktivieren sollten, finden Sie weiter unten in diesem Artikel.

3

Exchange Server wird auf einem virtuellen Computer in einer privaten Hosting-Umgebung ausgeführt.

Best Practices für die Sicherheit finden Sie in der Dokumentation zur Sicherheit von Hypervisoren. Siehe KB 4072698 für Windows Server und Hyper-V.

Wir empfehlen, alle Betriebssystemupdates auf dem virtuellen Gastcomputer (VM) zu installieren.

Informationen zur Frage, ob Sie KVAS aktivieren sollten, finden Sie weiter unten in diesem Artikel.

4

Exchange Server wird auf einem physischen Computer oder einem virtuellen Computer ausgeführt und ist nicht von anderer Anwendungslogik isoliert, die auf demselben System ausgeführt wird.

 

Wir empfehlen, alle Betriebssystemupdates zu installieren.

Wir empfehlen Kunden, das neueste verfügbare Produktupdate und alle zugehörigen Sicherheitsupdates bereitzustellen.

Informationen zur Frage, ob Sie KVAS aktivieren sollten, finden Sie weiter unten in diesem Artikel.

Empfehlungen zur Leistung

Wir empfehlen allen Kunden, die Leistung ihrer spezifischen Umgebung zu evaluieren, wenn sie Updates anwenden.

Lösungen, die von Microsoft für die hier beschriebenen Arten von Sicherheitsanfälligkeiten bereitgestellt werden, nutzen softwarebasierte Mechanismen für den Schutz vor dem prozessübergreifenden Zugriff auf Daten. Wir empfehlen allen Kunden, aktualisierte Versionen von Exchange Server und Windows zu installieren. Basierend auf von Microsoft durchgeführten Tests der Exchange-Workloads sollte dies minimale Auswirkungen auf die Leistung haben.

Wir haben die Auswirkungen von  KVAS (Kernel Virtual Address Shadowing) auf verschiedene Workloads gemessen. Dabei haben wir bei einigen Workloads eine erhebliche Leistungsbeeinträchtigung festgestellt. Exchange Server zählt zu den Workloads, bei denen eine erhebliche Leistungsbeeinträchtigung auftreten kann, wenn KVAS aktiviert ist. Bei Servern mit einer hohen CPU-Auslastung oder hohen E/A-Nutzungsmustern tritt voraussichtlich die größte Leistungsbeeinträchtigung auf. Es wird dringend empfohlen, vor der Bereitstellung in einer Produktionsumgebung zuerst mithilfe von Tests in einer Laborumgebung, die Ihren Produktionsanforderungen entspricht, die Auswirkungen der Aktivierung von KVAS auf die Leistung zu evaluieren. Wenn die Leistungsbeeinträchtigung aufgrund der Aktivierung von KVAS zu groß ist, können Sie sich überlegen, ob es für die Anwendung eine bessere Risikominderung darstellt, Exchange Server von nicht vertrauenswürdigem Code zu isolieren, der auf demselben System ausgeführt wird.

Zusätzlich zu KVAS finden Sie hier Informationen zur Leistungsbeeinträchtigung aufgrund der Hardwareunterstützung zur Risikominderung für Branch Target Injection (IBC). Bei einem Server, auf dem Exchange ausgeführt wird und auf dem eine IBC-Lösung bereitgestellt ist, kann eine erhebliche Leistungsbeeinträchtigung auftreten, wenn IBC aktiviert wird.

Wir gehen davon aus, dass Hardwarehersteller Updates für ihre Produkte in Form von Microcodeupdates anbieten werden. Aufgrund unserer Erfahrung mit Exchange konnten wir feststellen, dass die Leistungsbeeinträchtigung durch Microcodeupdates verstärkt wird. Inwieweit dies der Fall ist, hängt in hohem Maß von den Komponenten und dem Design des Systems ab, auf dem diese angewendet werden. Wir sind der Auffassung, dass eine Einzellösung – ob software- oder hardwarebasiert – allein nicht ausreicht, um diese Art von Sicherheitsanfälligkeit zu beheben. Wir möchten Sie dazu auffordern, die Leistung aller Updates zu evaluieren, um auf diese Weise Unterschiede beim Systemdesign und der Leistung zu berücksichtigen, bevor Sie diese in der Produktionsumgebung anwenden. Das Exchange-Team plant nicht, den Größenanpassungsrechner zu aktualisieren, der derzeit von Kunden zur Bewertung von Leistungsunterschieden verwendet wird. Die von diesem Tool gelieferten Berechnungen berücksichtigen keine Änderungen der Leistung im Zusammenhang mit Fixes für diese Probleme. Basierend auf unserer eigenen Nutzung und der Nutzung durch unsere Kunden werden wir dieses Tool und die unserer Meinung nach erforderlichen Anpassungen auch weiterhin evaluieren.

Wir werden diesen Abschnitt aktualisieren, sobald weitere Informationen verfügbar sind.

Aktivieren von KVAS (Kernel Virtual Address Shadowing)

Exchange Server wird in vielen Umgebungen ausgeführt, beispielsweise auf physischen Systemen, auf VMs in Public Cloud- und Private Cloud-Umgebungen sowie unter Windows-Betriebssystemen. Unabhängig von der Umgebung befindet sich das Programm auf einem physischen System oder einem virtuellen Computer (Virtual Machine, VM).  Diese Umgebung, ob physisch oder virtuell, wird als Sicherheitsbegrenzung bezeichnet.

Wenn der gesamte Code innerhalb der Sicherheitsbegrenzung Zugriff auf alle Daten innerhalb dieser Sicherheitsbegrenzung hat, sind keine Schritte erforderlich. Wenn dies nicht der Fall ist, wird die Sicherheitsbegrenzung als mehrinstanzenfähig bezeichnet.Die gefundenen Sicherheitsanfälligkeiten ermöglichen es, dass beliebiger Code, der in einem beliebigen Prozess innerhalb dieser Sicherheitsbegrenzung ausgeführt wird, alle anderen Daten innerhalb dieser Sicherheitsbegrenzung lesen kann. Dies gilt selbst bei reduzierten Berechtigungen. Wenn ein Prozess innerhalb der Sicherheitsbegrenzung nicht vertrauenswürdigen Code ausführt, könnte dieser Prozess mithilfe dieser Sicherheitsanfälligkeiten Daten aus anderen Prozessen lesen.

Zum Schutz vor nicht vertrauenswürdigem Code in einer mehrinstanzenfähigen Sicherheitsbegrenzung führen Sie einen der folgenden Schritte aus:

  • Entfernen Sie den nicht vertrauenswürdigen Code.

  • Aktivieren Sie KVAS, um Schutz vor der Offenlegung von Informationen zwischen Prozessen zu bieten. Dies hat Auswirkungen auf die Leistung. Ausführliche Informationen hierzu finden Sie in den Abschnitten weiter oben in diesem Artikel.

Weitere Informationen zum Aktivieren von KVAS für Windows finden Sie unter KB 4072698.

Beispielszenarien (KVAS wird dringend empfohlen)

Szenario 1

Auf einer Azure-VM wird ein Dienst ausgeführt, mit dem nicht vertrauenswürdige Benutzer JavaScript-Code übermitteln können, der mit eingeschränkten Berechtigungen ausgeführt wird. Auf derselben VM wird Exchange Server ausgeführt und verwaltet Daten, auf die diese nicht vertrauenswürdigen Benutzer keinen Zugriff haben sollten. In dieser Situation ist KVAS erforderlich, um Schutz vor der Offenlegung von Informationen zwischen den beiden Entitäten zu bieten.

Szenario 2

Ein lokales physisches System, das Exchange Server hostet, kann nicht vertrauenswürdige Skripte oder ausführbare Dateien von Drittanbietern ausführen. KVAS muss aktiviert werden, um Schutz vor der Offenlegung von Exchange-Daten im Skript oder in der ausführbaren Datei zu bieten.

Hinweis Nur weil ein Erweiterungsmechanismus in Exchange Server verwendet wird, bedeutet dies nicht automatisch, dass das System nicht sicher ist. Diese Mechanismen können in Exchange Server sicher verwendet, vorausgesetzt alle Abhängigkeiten sind nachvollziehbar und vertrauenswürdig. Darüber hinaus gibt es andere Produkte, die auf Exchange Server basieren und möglicherweise Erweiterungsmechanismen benötigen, um ordnungsgemäß zu funktionieren. Prüfen Sie stattdessen als ersten Schritt die jeweilige Verwendung, um festzustellen, ob der Code nachvollziehbar und vertrauenswürdig ist. Mithilfe dieser Anweisungen können Kunden bestimmen, ob sie KVAS aktivieren müssen, da dies größere Auswirkungen auf die Leistung hat.

Aktivieren der Hardwareunterstützung zur Risikominderung für Branch Target Injection (IBC)

IBC ermöglicht die Risikominderung für CVE 2017-5715, auch bekannt als eine Hälfte von Spectre oder „Variante 2“ in der GPZ-Veröffentlichung.

Diese Anweisungen zum Aktivieren von KVAS unter Windows können auch zum Aktivieren von IBC verwendet werden. Für IBC ist jedoch auch ein Firmwareupdate Ihres Hardwareherstellers erforderlich. Zusätzlich zu den Anweisungen in KB 4072698, die den Schutz unter Windows ermöglichen, müssen Kunden Updates von ihrem Hardwarehersteller beziehen und installieren.

Beispielszenario (IBC wird dringend empfohlen)

Szenario 1

In einem lokalen physischen System, das Exchange Server hostet, dürfen nicht vertrauenswürdige Benutzer beliebigen JavaScript-Code hochladen und ausführen. In diesem Szenario wird IBC dringend empfohlen, um Schutz vor der Offenlegung von Informationen zwischen Prozessen zu bieten.

In Situationen, in denen der IBC-Hardwaresupport nicht vorhanden ist, empfehlen wir, nicht vertrauenswürdige und vertrauenswürdige Prozesse auf unterschiedliche physische oder virtuelle Computer zu verteilen.

Nicht vertrauenswürdige Exchange Server-Erweiterungsmechanismen

Exchange Server enthält Erweiterungsfunktionen und -mechanismen. Viele dieser Erweiterungsfunktionen und -mechanismen basieren auf APIs, die die Ausführung von nicht vertrauenswürdigem Code auf dem Server, auf dem Exchange Server ausgeführt wird, nicht zulassen. Transport-Agents und die Exchange-Verwaltungsshell könnten die Ausführung von nicht vertrauenswürdigem Code auf einem Server, auf dem Exchange Server ausgeführt wird, in bestimmten Situationen zulassen. Mit Ausnahme von Transport-Agents erfordern Erweiterungsfunktionen in allen Fällen eine Authentifizierung, bevor sie verwendet werden können. Wir empfehlen, die Verwendung von Erweiterungsfunktionen nach Möglichkeit auf die unbedingt erforderlichen Binärdateien zu begrenzen. Darüber hinaus empfehlen wir Kunden, den Serverzugriff zu beschränken, um die Ausführung von beliebigem Code auf denselben Systemen wie Exchange Server zu verhindern. Wir raten Ihnen, festzustellen, ob die einzelnen Binärdateien vertrauenswürdig sind. Nicht vertrauenswürdige Binärdateien sollten Sie deaktivieren bzw. entfernen. Darüber hinaus sollten Sie sicherstellen, dass Verwaltungsschnittstellen im Internet nicht verfügbar gemacht werden.

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×