[English]Microsoft hat zum 12. Oktober 2021 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Oktober-Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden, zu schließen. Die Updates gelten für die nachfolgend genannten Exchange Server On-Premises-Installationen.
Anzeige
Microsoft hat den Techcommunity-Beitrag Released: October 2021 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Updates für folgende Exchange-Server-Versionen zur Verfügung.
- Exchange Server 2013 CU23
- Exchange Server 2016 CU21, CU22
- Exchange Server 2019 CU10, CU11
Diese Schwachstellen betreffen On-Premises Microsoft Exchange Server sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Installation zu schützen. Auf dieser Seite hat jemand die nachfolgend adressierten sechs Schwachstellen, deren Risiko teilweise als hoch eingestuft wird, zusammen getragen.
- CVE-2021-41350: Microsoft Exchange Server Spoofing Vulnerability
- CVE-2021-41348: Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2021-34453: Microsoft Exchange Server Denial of Service Vulnerability
- CVE-2021-26427: Microsoft Exchange Server Remote Code Execution Vulnerability
Die CVEs sind teilweise auch in diesem Blog-Beitrag der Zero-Day-Initiative aufgeführt. Auf dieser Seite finden sich Erläuterungen zu den jeweiligen Schwachstellen. Sofern die Sicherheitsupdates manuell installiert werden, ist dieser Vorgang zwingend aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf.
Erste Rückmeldungen zeigen keine Probleme – lediglich bei Microsoft gibt es im Techcommunity-Beitrag den Hinweis, dass es ein Update sich nicht installieren ließ – aber es fehlen die Details.
Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server September 2021 CU (28.9.2021)
Anzeige
Anzeige
Update für Exchange 2016 CU21 heute eingespielt.
Bisher noch keine Probleme bekannt.
Viele Grüße
Stefan A.
Habe das Update gerade für Exchange 2016 CU21 installiert: Keine Probleme. Neue Build ist die 15.1.2308.15.
Wie immer dauert das Ganze eine Weile: Patience is the key!
Gruß Singletreaded
Update wurde gerade auf einem Windows Server 2012R2 – Exchange 2012 CU23 ebenfalls erfolgreich installiert ( direkt via Windows Update )
Update Exchange 2016 CU21 mittels Windows Update. Ohne Probleme. Alles läuft!
Unter Exchange Server 2019 gab es auch keine Probleme. Man muss zugeben, das im Vergleich zu Windows 10, der Exchange Server mittlerweile sehr stabil läuft was das Updateprozedere angeht, oder?
Dieses Update soll automatisch Updates einspielen.
Wie sieht es aus, wenn auf dem Server Scripting mit "Set-ExecutionPolicy restricted" deaktiviert ist? Dann dürfte das doch nicht funktionieren?
Mir wäre nicht bekannt, dass bei Exchange irgendwelche Updates wirklich automatisch eingespielt werden, wenn man von Sicherheitsupdates für aktuelle CUs via Windows Update mal absieht.
Nach meinen Kenntnisstand muss das Update auf ein neues CU immernoch durch den Administrator angestoßen werden und die Sicherheitsupdates via Windows Update gibt es auch immer nur für die letzten beiden CU Versionen.
Oder spielen Sie auf die mit dem letzten CU eingeführte "Exchange Emergency Mitigation" an? Dies hätte allerdings nichts mit dem automatischen Installieren von Updates zu tun.
Gruß Singlethreaded
letzteres. Das muß ja irgendwie automatisch arbeiten?
Ja, dass tut es. Es ist aber kein Patching. Im ISS muss vor dem Update auf das CU22 (Exchange 2016) ein URL Rewrite Modul installiert werden, welches für die Anwendung von Notfallmaßnahmen benötigt wird.
Nach dem Update auf das CU22 kontaktiert der Exchange Server dann einmal in der Stunde online den Office Konfigurationsdienst im Hause Microsoft. Liegen dort für die verwendete Version von Exchange Server Regeln zur Risikominimierung vor, so werden die sofort automatisch angewendet.
In der Konsequenz werden durch diese Regeln Teile von Exchange Server deaktiviert. Es könnte z.B. sein, das Outlook Web Access schlicht durch einen URL Rewrite aus der Schusslinie genommen wird. Das Ganze hat also ggf. funktionalen Einfluss auf die Umgebung.
Der Administrator muss dann im Anschluss patchen und auch die von Microsoft gesetzten Regeln zur Risikominimierung wieder händisch entfernen. Das passiert bei einem Update nicht automatisch.
Das Ganze ist wirklich eine Hilfskrücke, damit nicht wie bei Hafnium tausende Exchange Server binnen Stunden umfallen. Für welche Fälle Microsoft das nutzt bleibt abzuwarten.
Der Dienst wird im Standard automatisch aktiviert und wenn man diesen nutzen möchte, dann sollte man per Exchange Powershell prüfen, dass der Office Konfigurationsdienst auch erreichbar ist.
Ansonsten lässt sich das Ganze auch per Powershell deaktivieren. Ist die Frage wie wohl man sich damit fühlt, dass Microsoft quasi einen Exchange Server Notausschalter erhält.
Gruß Singlethreaded
Schon jemand mit Installations-Erfahrung unter Exchange 2016 CU22?
Ja, gestern 5 Kunden Server aktualisiert. Läuft alles tip top.
Ja – 2x Exchange 2016 CU22 (verschiedene Kunden) – läuft alles einwandfrei, keine Probleme.
Installation lief einwandfrei durch (Exchange 2016 auf Server 2012 R2). jetzt läuft das OWA und ECP nicht mehr. Fehler scheint irgendwie mit der Zeit zusammen zu hängen. OWA ist 2 Stunden vor der eigentlichen Zeit.
Fehler Gestern noch behoben. Es lag am "abgelaufenen" OAuth Zertifikat. Zertifikat neu erstellt und nach 2 Stunden lief wieder alles. Eine zweiter Exchange 2016 auf 2012R2 lief ohne Probleme durch.
Installation auf Exchange 2016 CU21 erfolgte einwandfrei ohne Probleme. OWA und ECP erreichbar und voll funktionell. Build Version ist: 15.01.2308.015 nach dem Update.
Zeitlich zusammenhängend mit der Installation von KB5007011 auf einem Exchange2013CU23 ging der Zugriff über POP3 und IMAP nicht mehr – ob es ursächlich daran lag kann ich aber nicht sagen.
(Schnell-)Lösung war, über Set-ServerComponentState PopProxy und ImapProxy zu aktivieren.
OWA und ECP sind erreichbar.