[English]Microsoft hat zum 10. Mai 2022 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden, zu schließen. Die Updates gelten für die nachfolgend genannten Exchange Server On-Premises-Installationen.
Anzeige
Die Sicherheitsupdates für Exchange Server vom Mai 2022 beheben Sicherheitslücken, die von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Microsoft hat den Techcommunity-Beitrag Released: May 2022 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht.
Und auf Twitter ist mir obiger Hinweis untergekommen. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.
- Exchange Server 2013 CU23
- Exchange Server 2016 CU22, CU23
- Exchange Server 2019 CU11, CU12
Die Updates für Mai 2022 schließt die nachfolgende, als wichtig und mit einem CVSSv3-Score von 8.2 eingestufte Schwachstelle.
Anzeige
CVE-2022-21978 | Microsoft Exchange Server Elevation of Privilege Vulnerability: Die Schwachstelle ermöglicht eine Privilegienerhöhung, wobei die Ausnutzung als "Exploitation Less Likely" eingestuft wurde. Ein Angreifer muss bereits bei einem anfälligen Exchange Server "als Mitglied einer hoch privilegierten Gruppe" authentifiziert sein, um diese Schwachstelle auszunutzen, könnte sie aber nutzen, um sich selbst zum Domänenadministrator zu erheben.
Diese oben skizzierten Voraussetzungen machen es zwar weniger wahrscheinlich, dass Angreifer diese Schwachstelle ausnutzen, doch sind Schwachstellen in Exchange Servern ein bevorzugtes Ziel für Angreifer. Sicherheitslücken, die Angreifern Domänenadministratorrechte verleihen können, sind besonders wertvoll, schreibt Tenable in diesem Beitrag. Auch Frank Zöchling empfiehlt hier die zeitnahe Installation des Updates.
Sofern die Sicherheitsupdates manuell installiert werden, ist dieser Vorgang zwingend aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf.
Beachtet, dass eine manuelle Ausführung von /PrepareAllDomains (nach der Installation) erforderlich ist. Microsoft beschreibt im Techcommunity-Beitrag Released: May 2022 Exchange Server Security Updates Maßnahmen, die aufgrund zusätzlicher Sicherheitsmaßnahmen für CVE-2022-21978 zusätzlich zur Anwendung der Sicherheitsupdates vom Mai 2022 durchgeführt werden sollten.
Die mit diesen Updates ausgerollten Fixes (z.B. dass der Exchange Service Host Service nach Installation des März 2022 Updates KB5013118 stirbt) lassen sich im Techcommunity-Beitrag Released: May 2022 Exchange Server Security Updates nachlesen.
Nun auch .exe-Pakete
Ab dieser Version der Sicherheitsupdates werden die Updates in einem selbstextrahierenden, automatisch aufsteigenden .exe-Paket veröffentlicht (zusätzlich zum bestehenden Windows Installer Patch-Format). Weitere Informationen finden Sie in diesem Beitrag. Die Original-Updatepakete können aus dem Microsoft Update Catalog heruntergeladen werden.
Ähnliche Artikel:
Sicherheitsupdates für Exchange Server (Januar 2022)
Sicherheitsupdates für Exchange Server (8. März 2022)
Exchange Server April 2022 CU (20.4.2022)
Probleme mit Exchange März 2022-Updates
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt
Anzeige
Guten Morgen,
ein Hinweis im Artikel das /PrepareAllDomains manuell nach der Installation der Sicherheitsupdates ausgeführt werden sollte/muss wie von Frank beschrieben wäre evtl nicht verkehrt :)
VG!
Gero
Hm, der vorhandene Hinweis auf /PrepareAllDomains in der manuellen Einrückung "Beachtet, dass eine manuelle Ausführung…" reicht nicht?
Oh, ähm. Da bin ich wohl drübergescrollt am Smartphone. Sorry ;)
kein Problem – mir unterlaufen ja durchaus Fehler – zumal wenn ich da Nachts um 1:00 Uhr was zusammen nagele. Da sind Nutzerhinweise immer willkommen. Im aktuellen Fall wollte ich es nur verstehen – bin ja kein Exchange-Admin.
Die Verlinkungen zu den CUs sind korrigiert und müssten jetzt alle auf die Mai 2022-Pakete verlinken.
Guten Morgen,
ich hab gestern Abend unsere DAG gepatcht.
Server 2016 / Exchange 2016 CU 23 -> keinerlei Probleme.
Konnte bei uns auch keinerlei Probleme feststellen.
Wie auf einer anderen Seite empfohlen hier der Ablauf:
1. Update
2. Reboot
3. Befehl ausführen(dieser muss natürlich erfolgreich sein. User muss Teil der Organisations Admins sein)
Zurücklehnen :)
Grüße
Nur als Hinweis auch wenn es vermutlich viele wissen sollten…
/PrepareAllDomains muss nach der Installation ausgeführt werden. Es muss aber nur einmal ausgeführt werden egal von welchem Release und wie viele EX es gibt. Sobald ein EX das SU erhalten hat, den Befehlt absetzten der Rest kann danach mit dem SU versehen werden.
Nino Bilic Microsoft
May 10 2022 11:54 AM
@philrandal You can run this as soon as any one of your Exchange servers is updated with May 2022 SUs. You do not need to wait until all Exchange servers are updated.
muss PrepareAllDomains auch ausgeführt werden wenn man über Windows Update installiert?
Ja, immer. Auch per WSUS. Macht keinen Unterschied.
Grüße
über CMD oder PowerShell?
CMD!
"Install the May 2022 SU first and then run the following Command Prompt command once using Setup.exe in your Exchange Server installation path (e.g., …\Program Files\Microsoft\Exchange Server\v15\Bin):
"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains""
Hallo Günther,
die oben verlinkten Patches zu den CUs unter dem Twitter Post scheinen auf die Exchange Updates vom März 2022 (KB5012698) zu verweisen.
In dem von dir verlinkten Beitrag vom Technet (weiter unten) sind dann die richtigen Updates zu finden (KB5014261). Nicht, dass es für einige Leser zu Verwirrungen kommt :)
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-may-2022-exchange-server-security-updates/ba-p/3301831
MfG,
Nils
Es sollte inzwischen korrigiert sein.
Healthchecker Script meldet mit aktueller Version stand jetzt immer noch vulnerable. Scheint aber wohl (hoffentlich) ein Fehler vom Script zu sein.
Kann ich bestätigen. Aktuelle Version meldet der Exchange wäre noch immer angreifbar, obwohl das Script das SU weiter oben als installiert auflistet. Schema Update wurde entsprechend der Anleitung gemacht.
Das Script wurde über Nacht aktualisiert und zeigt jetzt den richtigen grünen Zustand an.
Gruß
Wenn ich mich nun im Exchange Admin Center einlogge ist alles leer?! Keine Mailboxen mehr zu sehen
Outlooks verbinden auch nicht mehr!!!
"Leere Seite in EAC oder OWA":
https://docs.microsoft.com/de-de/exchange/troubleshoot/client-connectivity/exchange-security-update-issues#blank-page-in-eac-or-owa
Hallo zusammen,
ich habe noch nicht so ganz verstanden, warum ich nach der Installation des SU manuell den Befehl /PrepareAllDomains ausführen muss. Das habe ich bisher noch nie gemacht.
Kann mich da bitte jemand aufklären?
Vielen Dank im Voraus.
Exchange verwendet Active Directory zum Speichern von Informationen über Postfächer und die Konfiguration von Exchange-Servern in der Organisation.
Um diese Änderungen nach dem Sicherheitsupdate auf die aktuelle Version zu bringen, muss der Befehl ausgeführt werden. Dies ist nicht bei jedem Sicherheitsupdate nötig.
Microsoft schreibt im Blog als Begründung: "Because of additional security hardening work for CVE-2022-21978…"
Laut diesem Tweet gibt es ein RegEx-Problem im Exchange2016 CU23