Es gab wieder Security-Patches für Exchange. Diesmal ging es um die Exchange AMSI Integration. Darauf werde ich noch eingehen. Es gibt dazu etwas zu beachten. Alles dreht sich um die Updates aus dem Juni 2021. Und ich weise gern nochmal darauf hin, dass man Security-Updates etwas anders installiert. Nun aber müssen wir uns erstmal anschauen, was da gerade die Runde macht. Das ist nämlich auch nicht ohne. Microsoft ist halt immer wieder für eine Überraschung gut.
Was ist das jetzt mit der Exchange AMSI Integration?
Für die Exchange-Serverversionen 2013 bis 2019 gibt es mal wieder Security-Updates. Ich bin über diesen Blogartikel gestolpert. Dort ist die Rede von einer „Vulnerability“, also einer Schwachstelle. Die wurde von Sicherheitspartnern gemeldet und durch interne Prozesse bestätigt. Allerdings sind keine Berichte bekannt, dass diese Schwachstelle, die mit CVE-2021-34470 bezeichnet wird, bekannt.
Wahrscheinlich liegt das daran, dass die Schwachstelle nicht einfach so über das Internet ausgenutzt werden kann, wie Microsoft schreibt. Sie muss „Adjacent“, also aus der Nachbarschaft erfolgen. Deshalb ist unter Umständen mit dem Security-Update auch ein Schema-Update für Active Directory notwendig. Jedenfalls gibt es Updates für die genannten Exchange-Versionen. Und die scheinen die Exchange AMSI Integration zu beeinflussen.
Damit ist eine bessere Integration von Antimalware-Programen gemeint. Mit der Exchange AMSI Integration (AMSI = Antimalware Scan Interface) wird eine Schnittstelle bezeichnet, an der Antivirus-Scanner „andocken“ können. Das war ja immer das große Problem. Hast du einen Antivirus-Scanner auf einem Exchange Server, konnte es zu interessantem Verhalten kommen. Und hier hat Microsoft nun Abhilfe geschaffen.
Mit AMSI arbeiten die User Account Control, PowerShell, Windows Script Host, JavaScript und VBA Makros für Office zusammen. Und für unseren „Mail Server“ wurde die Exchange AMSI Integration mit dem Juni-Update erst ausgeliefert. Wir können uns alle vorstellen, dass dies sehr tief ins System eingreift. Und deshalb ist es irgendwie logisch, dass das Ganze eben nicht mit „Setup -> Weiter -> Weiter -> Fertigstellen“ zu bewerkstelligen ist, oder?
Ist Outlook kaputt?
Mit der Exchange AMSI Integration ist es ja möglich, mit entsprechenden Scannern Inhalte in HTTP-Anfragen, die an Exchange geschickt werden, auf Bösartigkeit zu untersuchen. Und genau damit gibt es wohl derzeit Probleme. Es kann dazu kommen, dass die Verbindung zwischen Outlook und Exchange Server extrem langsam wird. Auch bis Outlook endlich mal gestartet ist, kann es enorm lang dauern. Dies ist mit verschiedenen Scannern der Fall.
Wie im letzten Link bei Frankys Web zu sehen ist, gibt es zwei Workarounds. Entweder schaltet man AMSI ab oder bearbeitet die web.config in den beiden folgenden Verzeichnissen:
%exchangeinstallpath%\FrontEnd\HttpProxy\mapi
%exchangeinstallpath%\FrontEnd\HttpProxy\rpc
Was ich dort bearbeiten muss, steht beim Frank. Wenn ihr etwas anpassen wollt, lest bitte den Artikel dort. Klar ist, dass die Virenscanner von AVAST und McAfee die Exchange AMSI Integration unterstützen. Und mindestens bei ihnen kann es zu den genannten Problemen kommen. Am Ende ist nicht Outlook kaputt, sondern AMSI grätscht dazwischen.
Microsoft unter Zugzwang
Jetzt kann ich viel erzählen. Am Ende bleibt die Erkenntnis, dass Microsoft hier unter Zugzwang ist. Es wurde bekannt gegeben, dass Exchange Online nicht von den Problemen betroffen sei und dort auch nicht die Sicherheitslücke aufgetreten ist. Mir scheint, als könnte der Konzern da in Erklärungsnot geraten. Ich will da aber nicht herum orakeln. Und ich habe genug geunkt. Klar ist, dass es merkwürdig ist, dass das Problem ausschließlich On-Premises betrifft.
Welche Schlüsse man daraus ziehen kann, bleibt euch überlassen. Wenn ihr mich fragt, dann wirkt es für mich so, als würde der Riese die Exchange Server zugunsten der Cloud-Infrastruktur benachteiligen. Aber das kann ein subjektiver Eindruck sein. Ich freue mich jedenfalls darauf, im Support damit konfrontiert zu werden, dass diese Exchange AMSI Integration irgendwie komisch ist. Seid ihr denn auch so gespannt wie ich, was da als nächstes passiert?