[English]Kurze Information für Administratoren von Microsoft Exchange-Servern, die das Sicherheitsupdate von März 2021 noch installieren müssen. Das die Woche von Microsoft freigegebene Sicherheitsupdate für Microsoft On-Premise Exchange-Server (2010 bis 2019) soll ja vier Schwachstellen, die für Angriffe genutzt werden, schließen. Das Update hat in einem Fall zu Fehlfunktionen geführt (das ECP läuft nicht mehr und die OWA-Suche streikt). Ich stelle die Information für Administratoren hier im Blog ein, um Betroffenen die Fehlersuche zu erleichtern.
Anzeige
Sicherheitsupdate für Exchange-Server 0-day-Exploits
Ich hatte es am 3. März 2021 im Blog-Beitrag Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen! thematisiert. In den Microsoft On-Premise Exchange-Server Versionen 2010 bis 2019 gibt es die vier Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, die von der mutmaßlich staatsnahen chinesischen Hacker-Gruppe HAFNIUM für gezielte Angriffe ausgenutzt werden. Die Schwachstellen ermöglichen eine Remote Code Execution (RCE) und die Übernahme des Exchange-Servers oder das Abziehen von Informationen.
Microsoft hat für die On-Premise-Varianten von Exchange-Server (2010 bis 2019) Sicherheitsupdates freigegeben, um diese Schwachstellen zu schließen. Da auch noch das längst aus dem Support gefallene Exchange 2010 einen Patch erhält, unterstreicht, dass Microsoft das Ganze als kritisch einstuft. Erste Rückmeldungen im Blog bestätigen, dass dieses kumulative Updates wohl weitgehend ohne Kollateralschäden installiert werden können. Auf Facebook hat sich aber ein Administrator gemeldet, der nach der Installation Probleme feststellte.
Exchange Control Panel (ECP) streikt
Kurz nach meinem Post meldete sich Administrator Flo A. auf Facebook mit dem Hinweis "Nach dem Update läuft die ECP nicht mehr, Suche gerade den Fehler". Das Kürzel ECP steht für Exchange Control Panel. Administrator Oliver H. wies darauf hin, dass es verschiedene Ursachen für das streikende ECP geben könne. Eine Websuche fördert diverse Treffer (wie hier) zu Tage. Oliver bestätigte, dass er gleich bei mehreren Systemen vier Fehler im Umfeld der Installation des kumulativen Sicherheitsupdates für Exchange (wohl 2016) festgestellt habe. Zum nicht ladenden ECP hat er dann zwei Artikel gepostet, die als Ursache einen falschen Pfad für die Komponenten adressieren:
- Exchange 2016: Serverfehler in der Anwendung /ecp
- Exchange 2016: Serverfehler in Anwendung (OWA und/oder ECP)
Über diese Artikel gelang es dem Administrator zwar, dass das ECP unter Exchange wieder geladen wurde. Allerdings war die Darstellung dann fehlerhaft, was aber von Phillipp Hungerbühler im Beitrag Und wieder hinterlässt ein fehlerhafter Exchange Update eine halblebige Umgebung für ein früheres Update mit einer Fehleranalyse samt Lösungsmöglichkeit bedacht wurde. Flo gab dann die Rückmeldung, dass ein falscher Wert in der Variable BinSearchFolders angepasst wurde und das Ganze wieder funktionierte.
Anzeige
OWA-Suche geht nicht mehr
Nachdem das Exchange Control Panel (ECP) wieder geladen wurde und eine korrekte Anzeige lieferte, musste sich Oliver H. noch mit dem Problem, dass die Outlook Web App-Suche (OWA-Suche) streikte, beschäftigen. Dazu schreibt er:
Und zum Schluss hat dann die Suche in OWA und Outlook nicht mehr funktioniert.
Das Setup hat mir einfach den Dienst "Microsoft Search Host Controller" auf deaktiviert gesetzt.
Nach erneuter Aktivierung und dem Start des Dienstes funktionierte die Suche wieder
Sind alles keine großen Sachen, wenn man weiß, wo man suchen muss. Aber es scheint, dass das kumulative Exchange-Sicherheitsupdate bei einzelnen Systemen zu Problemen führen kann. Vielleicht hilft es Betroffenen weiter – ihr könnt ja ggf. ein Feedback hinterlassen. Danke an Flo und Oliver für die Rückmeldungen auf Facebook.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Online Exchange: Import von Office 365 PST-Postfächern wieder möglich?
Exchange-Server: 31% – 61% in Deutschland für CVE-2020-0688 anfällig (Feb. 2021)
Exchange 2016 / 2019: Falsche MS-Vorgaben für UCMA
Sicherheitsupdate für Exchange Server 2013-2019 (Nov. 2020)
Weiter ungepatchte Exchange-Server in Deutschland (Nov. 2020)
Fix für Exchange/iOS Outlook-App 'Geburtstags'-Bug
Über 247.000 ungepatchte Exchange Server über CVE-2020-0688 angreifbar – Exchange 2010 erreicht EOL
Exchange Server: 80% nicht gegen CVE-2020-0688 gepatcht
Exchange Server: Remote Code Execution-Schwachstelle CVE-2020-16875
Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020)
Exchange Online: Abschaltung Basic Authentication in 2021
Neues Office und neuer Exchange Server in 2021
Anzeige
Vermute er hat es nicht nach der Vorgabe wie von MS beschrieben installiert. Man liest leider immer wieder, das Sec Updates für den Exvhange über die Windows Updates installieren werden, das sollte man vermeiden!
Interessanterweise haben wir NOCH NIE ein Problem gehabt, wenn wir die Updates über Windows Updates eingespielt haben.
Diese o.a. Fehler passieren meines Wissens nach nur bei manueller Installtion, wenn man sich nicht an die MS Vorgaben hält.
Sehe ich genauso, immer die KB lesen und nicht wild drauflos klicken. Wir stoppen auch immer den Host & Mail AV Scanner, die können such reinschneien. Vorallem wen sie als TransportAgent mitlaufen…
fatale Fehleinschätzung der Lage. Die geringsten Probleme hat man wenn man über WSUS oder Windows Update installiert, denn dann wird das Update mit den höchsten Rechten installiert und kann auch überall alles korrekt setzen.
Fatal sind meist die Installationen, wo der Admin das KB runterlädt und einfach per Doppelklick startet und nicht elevated Startet. Da läufts zwar auch durch, kann aber nicht alles setzen.
Genau diese "Known Issues" werden bei jedem Sec KB zu Exchange angeführt.
Hatte das auch immer über Windows Updates installiert und bin damit auf die Nase gefallen und stand nach dem Reboot ohne Exchange-Dienste da, obwohl bei der Installation keinerlei Fehler gemeldet wurden. Seitdem nur noch manuell per Elevated cmd und grundsätzlich niemals Windows-Updates gleichzeitig mit Exchange-Updates installieren, sondern immer erst die Windows Updates und dann gesondert das Exchange-Update (ergo meist 2 Reboots am Patchday notwendig). Seitdem hatte ich keine Probleme mehr mit Exchange-Updates.
Patch mit Elevation ausführen!
In der KB von MS steht es extra drin: Man muss den Patch mit Elevation ausführen, also eine CMD mit "als Administrator starten" ausführen. Sonst gibt's diverse Probleme
Und wie macht man das, wenn der Patch über das Windows Update einläuft?
einfach das angebotene Update über Windows Update installieren. Das macht alles richtig. So steht es drinnen im jeweiligen KB
Exchange 2016: Update über WSUS durchgeführt. Keinerlei Probleme.
Hab nach dem Update und Neustart des Exchange-Servers von einem einzigen Nutzer die Meldung, dass Outlook nicht startet. OWA geht aber.
Aufgrund der wohl schon aktiven Nutzung der 0-day Schwachstelle besser Updates installieren als nicht.
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/?ranMID=46131&ranEAID=hL3Qp0zRBOc&ranSiteID=hL3Qp0zRBOc-fooJSdl_B1t2mGI0KT2CSQ&epi=hL3Qp0zRBOc-fooJSdl_B1t2mGI0KT2CSQ&irgwc=1&OCID=AID2000142_aff_7806_1243925&tduid=%28ir__hucvshup2okfqzr1xka03fe3c22xpuz2g1naydht00%29%287806%29%281243925%29%28hL3Qp0zRBOc-fooJSdl_B1t2mGI0KT2CSQ%29%28%29&irclickid=_hucvshup2okfqzr1xka03fe3c22xpuz2g1naydht00
Hab die Tage auch 3 Exchange 2016 CU19 aktualisiert.
Einmal ein DAG aus zwei Servern und einmal einen einzelnen.
Hat zwar etwas gedauert aber lief fehlerfrei durch.
Ich installiere bei uns in der Umgebung schon seit Jahren die Updates manuell, aber achte sehr darauf, dieses über eine CMD mit erhöhten Rechten zu installieren.
Bisher noch nie Probleme gehabt…
Wie schon hier kommentiert, ist es ein bekanntes Problem, wenn man das Update manuell installiert und „einfach so Doppel-Klickt"…
Mich würde sehr interessieren wie „ Flo A." aus dem Artikel das Update installiert hat, vielleicht würde es sich dann erklären.
Immer schön zu lesen, wie Einzelprobleme hier adressiert werden weil der Admin (vermutlich) vergessen hat wie man für Exchange Updates installiert.
Habe die Updates am Donnerstag ohne Probleme in einer DAG-Umgebung installiert.
Zwei Anmerkungen: Deine Einzelprobleme scheinen arg verbreitet zu sein, wenn auf einen FB-Post von mir schon zwei Admins aufschlagen und Microsoft sich veranlasst sieht, im Supportbeitrag auf das Thema hinzuweisen.
Zudem ist das Thema wohl nicht mehr so lustig, wenn ich mitbekomme, dass Sicherheitsspezialisten davon ausgehen, dass in den USA in den letzten Tagen >30.000 ungepatchte Exchange-Systeme kompromittiert wurden. Wenn da nur 10 % Systeme drunter waren, bei denen der Administrator wegen UAC gepatzt hat …
Von daher gehört das hier in den Blog – einiges doofes Problem: Die wirklich Betroffenen lesen es vermutlich nicht.
Vielen Dank!
"Das Setup hat mir einfach den Dienst „Microsoft Search Host Controller" auf deaktiviert gesetzt."
war auch hier das Problem, nach der manuellen Installation des HAFNIUM Updates.