[English]Microsoft hat zum 11. Oktober 2022Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sollen Schwachstellen, die von externen Sicherheitspartnern gemeldet oder durch Microsoft gefunden wurden, schließen. Die seit Ende September 2022 bekannten 0-day-Schwachstellen (ProxyNotShell) werden aber nicht beseitigt.
Anzeige
Microsoft hat den Techcommunity-Beitrag Released: October 2022 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht.
Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.
- Exchange Server 2013 CU23
- Exchange Server 2016 CU22, CU23
- Exchange Server 2019 CU11, CU12
Microsoft nennt im Techcommunity-Beitrag nicht, welche Schwachstellen geschlossen werden. Blog-Leser Olli führt in diesem Kommentar aber mehrere CVEs aus den August CUs an. Das ist auch in den Benutzer-Kommentaren zum Techcommunity-Post des Exchange-Teams so angemerkt worden – bei Frank Zöchling finden sich ebenfalls einige Kommentare. Es sind die nachfolgenden CVEs, die bereits beim August 2022-Update adressiert wurden, berücksichtigt (es scheint ein Re-Release gegeben zu haben).
Anzeige
- Microsoft Exchange Information Disclosure Vulnerability (CVE-2022-21979)
- Microsoft Exchange Server Elevation of Privilege Vulnerability (CVE-2022-21980)
- Microsoft Exchange Server Elevation of Privilege Vulnerability (CVE-2022-24516)
- Microsoft Exchange Server Elevation of Privilege Vulnerability (CVE-2022-24477)
- Microsoft Exchange Information Disclosure Vulnerability (CVE-2022-30134)
Wie bereits Eingangs erwähnt, die seit Ende September 2022 bekannten 0-day-Schwachstellen (ProxyNotShell) werden aber nicht beseitigtZu beachten ist, dass die Exchange Server auf das aktuelle CU aktualisiert werden, bevor die Oktober 2022-Updates installiert werden (siehe obige Grafik und den Hinweis von Microsoft). Zur Prüfung kann das HealthChecker-PowerShell-Script von Microsoft verwendet werden.
Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.
Windows Extended Protection aktivieren
In einer Ergänzung weist Microsoft darauf hin, dass Administratoren zum beheben einiger Schwachstellen, die im August/Oktober 2022 geschlossen wurden, den erweiterten Windows-Schutz (Windows Extended protection) auf Ihren Exchange-Servern (in IIS)aktivieren müssen. Zur Aktivierung dieser Funktion stellt Microsoft ein Skript bereit (die aktuelle Version findet sich hier). Vor der Aktivierung der Extended Protection (EP) auf Produktivsystemen sollte geprüft werden, ob die Voraussetzungen auch erfüllt sind. Die Aktivierung von Extended Protection (EP) wird nur von bestimmten Exchange-Versionen unterstützt. Problem werden auch die zahlreichen "Known Issues" werden, die in den Voraussetzungen genannt werden.
Ähnliche Artikel:
Sicherheitsupdates für Exchange Server (Januar 2022)
Sicherheitsupdates für Exchange Server (8. März 2022)
Exchange Server April 2022 CU (20.4.2022)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Probleme mit Exchange März 2022-Updates
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt
Exchange: Extended Protection, Checkliste und Probleme
Update für Exchange Extended Protection-Script, aber weiterhin Fehler
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Health Checker – Script-Erweiterungen von Frank Zöchling
Exchange Server Sicherheitsupdates (9. August 2022)
Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)
Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
Neues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-Lösung
Exchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einschätzungen (3. Oktober 2022)
Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Exchange Server: Neue 0-day (nicht NotProxyShell, CVE-2022-41040, CVE-2022-41082)
Microsoft Exchange Server: Remote Code Execution-Schwachstelle CVE-2022-23277 trotz Patch ausnutzbar?
Anzeige
Guten Morgen an die Runde,
ich habe das August SU nicht installiert, kann ich gleich das Oktober SU installieren oder muss ich zuerst das August und dann das Oktober SU installieren?
Ist ein Exchange 2016 mit aktuellsten CU.
Guten Morgen,
ja, kannst du, auch die Exchange Security Updates sind kumulativ:
"Exchange Server security updates are cumulative (an update released in April will also contain security fixes released in March, for example). We also announce all major updates on our blog."
https://techcommunity.microsoft.com/t5/exchange-team-blog/why-exchange-server-updates-matter/ba-p/2280770
Ja du kannst direkt das Oktober SU installieren
hmm jaa so habe ich es auch gemacht.
Exchange CU 23 installiert und direkt Oktober SU installiert ohne die Mai und August Updates.
bekomme nun beim Versuch die Extended Protection zu aktivieren folgenden Fehler:
Fehlermeldung:
Das Argument für den Parameter "SiteVDirLocations" kann nicht überprüft werden. Das Argument ist NULL oder leer, oder ein Element der Argument Auflistung enthält einen NULL Wert. Geben Sie eine Auflistung an, die keine NULL-Werte enthält und führen Sie dann den Befehl erneut aus.
Zeichen 35 in Exchange-Script
hat jemand eine Idee? Finde absolut nichts dazu.
laut Frankysweb bei Exchange 2016 nach Installation "Totalausfall"
https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-oktober-2022/
Martin
12. Oktober 2022 um 13:59
exchange 2016 update:
auf 2 verschiedenen servern totalausfall, dienste starten nciht mehr. Deinstallation fehlgeschlagen. Snapshot wiederherstellung
Antworten
Ralph
12. Oktober 2022 um 14:05
Das Update oder was auch immer hat bei uns die „Windows Dienste" teilweise deaktiviert (anstatt manuell oder automatisch).
Leider nicht alles im Protokoll erkennbar gewesen.
Exchange Dienste waren alle deaktiviert und konnten somit auch bei einem Neustart nicht starten oder gestartet werden.
Nachdem die Dienste wieder entsprechend eingestellt sind läuft alles wieder.
Danke für die Verlinkung.
Alles schick hier.
Srv2016 mit Ex2016 CU23, August SU und aktiviertem EP.
exchange 2016 update auf beiden Servern im DAG durchgelaufen. Wir haben aber noch nicht die Extended Protection aktiv, weil wir diverse Retention Policies haben.
Installation hat ebenso geklappt!
Exchange 2016 mit CU 23 nach SU Oktober Update auf Version 15.01.2507.013 und Dienste laufen alle.
Installiert unter Server 2012 R2 mit ESET Mailsecurity 9.0018. über Windows Update.
Morgen wird dann die Extended Protection aktiviert
Das passiert normalerweise wenn die Updates als User und nicht in einer Admin Session ausgeführt werden.
Moin,
wollte nur noch anmerken, dass Extended Protection tatsächlich funktioniert hat. Ich hatte wegen dem aktuellen Loch den URL-Rewrite schon manuell eingetragen. Per EP passierte allerdings noch nichts. MS hatte nach einigen Tagen bemerkt, dass die URL-Maske noch etwas weiter gefasst werden muss. Die korrigierte Fassung wurde dann binnen 24h über EP im IIS eingetragen und stand so neben meinem manuellen Eintrag.
Man muss EP jetzt nur immer auf der Pfanne haben, falls durch solche Auto-Eingriffe tatsächlich mal Funktionen flöten gehen.
Servus D-Elektronik!
Ich vermute, du hast nur die Begriffe verwechselt.
Wenn nicht, unten nochmals 2 Links dazu:
Extended Protection
und
EEMS (Exchange Emergency Mitigation Service)
sind zwei unterschiedliche Themen.
https://aka.ms/ExchangeEPDoc
https://techcommunity.microsoft.com/t5/exchange-team-blog/new-security-feature-in-september-2021-cumulative-update-for/ba-p/2783155
Viele Grüße
Stefan
Ich muss nochmal dumm fragen:
Examples:
This syntax enables Extended Protection on all Exchange Servers that are online that we can reach.
PS C:\> .\ExchangeExtendedProtectionManagement.ps1
Dieser Befehl reicht schon, damit ich die ExtendedProtection auf meinem einzigen Exchange 2016 aktivieren kann oder?
Ja, wenn du direkt auf deinem Exchange bist und mit dem entsprechenden Konto.
"Make sure that the account you are using is a member of the Organization Management role group."
oder als Domänen-Admin angemeldet ?
Ja!
Ich erhalte beim aktivieren der Extended Protection folgenden Fehler:
Das Argument für den Parameter "SiteVDirLocations" kann nicht überprüft werden. Das Argument ist NULL oder leer, oder ein Element der Argument Auflistung enthält einen NULL Wert. Geben Sie eine Auflistung an, die keine NULL-Werte enthält und führen Sie dann den Befehl erneut aus.
Zeichen 35 in Exchange-Script
Exchange 2016 auf Server 2012 – 15.01.2507.013 (Oktober 2022 SU Update auf CU 23)
Hat auch schon mal jemand mit dem Script die ExtendedProtection wieder zu deaktivieren versucht (falls es danach zu Problemen gekommen ist)? Hats geklappt und wie war die Syntax?
würde ich auch gerne wissen, ob sie schon jemand über das Script deaktivieren konnte :-)
die Syntax lautet:
Deaktivieren:
This syntax rolls back the Extended Protection configuration for all the Exchange Servers that are online where Extended Protection was previously configured.
NOTE: This is done by restoring the applicationHost.config file back to the previous state before Extended Protection was configured. If other changes occurred after this configuration, those changes will be lost.
PS C:\> .\ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreIISAppConfig"
Update problemlos durchgelaufen.
Server 2016 mit Exchange 2016 CU22!
Auch bei uns verlief die Installation des Oct22SU auf allen Exchange Servern problemlos. Installation erfolgte manuell über die jeweilige EXE aus einer elevated CMD heraus.
2x Exchange Server 2019 CU12 auf Windows Server 2019 (Core und Desktop) und 1x Exchange 2016 CU23 (Windows Server 2012 R2 Desktop).
kann ich bestätigen :-)
bei mir direkt aus Windows Update
Exchange 2013 (auf Windows Server 2012 R2) alle Updates ohne Probleme installiert. Extended Protection und die URL Rewrite-Regel hatte ich vorher schon aktiv.
Bei uns ebenfalls 2x EX2013 auf 2012er Basis inkl. URL Rewrite keine Probleme ( Installation via Windows Update )
Installation des Oct22SU auf Exchange Server 2016 CU23 mit August22SU und aktivierter Extended Protection erfolgreich. Installation erfolgte manuell über die jeweilige EXE aus einer elevated CMD heraus. Der Virenwächter wurde während der Installation deaktiviert.
Kennt jemand das beim versuchten Upgrade von CU22 auf C23 das Setup Fenster einfach gar nicht angezeigt wird und man es gar nicht starten kann ?
ISO gemounted und als Admin das Setup gestartet wie bei allen CUs vorher auch schon.
Ich erhalte beim aktivieren der Extended Protection folgenden Fehler:
Das Argument für den Parameter "SiteVDirLocations" kann nicht überprüft werden. Das Argument ist NULL oder leer, oder ein Element der Argument Auflistung enthält einen NULL Wert. Geben Sie eine Auflistung an, die keine NULL-Werte enthält und führen Sie dann den Befehl erneut aus.
Zeichen 35 in Exchange-Script
Exchange 2016 auf Server 2012 – 15.01.2507.013 (Oktober 2022 SU Update auf CU 23)
Problem wurde gelöst. Es gab nochmal ein Update vom Script, danach ging es.
Lag wohl daran, dass man direkt auf das Oktober SU Update gegangen ist und nicht vorher August installiert CU installiert hat. Er hat die KB Nummer gesucht, die logischerweise nicht vorhanden war.
Hallo miteinander,
ich ärgere mich auch mit dem Update KB5019077 herum. MSX19, CU12, SU2 (08/22), onprem, VM
Das Einspielen über Windows-Update schlug mit Fehler 1603 fehl: MSX-Dienste sind danach alle deaktiviert und lassen sich auch nicht manuell starten. Der MSX-AD-Topologie Dienst ist abhängig vom Net.TCP Port Sharing Service, der allerdings gestartet ist.
Auf reddit gibts noch Hinweise auf .NET4.8-Probleme; fehlende/falsche SharedWebconfig.config-Dateien (ASP.NET 4 Events 1310 sollen darauf hinweisen, die bei mir auch auftauchen); MS schreibt was von Zugriffsrechten, aber leider komme ich nicht weiter:
Zugriffsrechte sind da; SharedWebconfig.config-Datei unter …/httpproxy habe ich einmal neu generieren lassen, danach tauchten weitere Fehler auf also rückgängig gemacht;
.NET-Repairtool machte was, aber das Problem blieb; eine Neuinstallation/Reparatur von 4.8, weil schon installiert (höhere Nummer) brachen daher ab;
Dienste starten nicht (auch über Powershell-Script (Reddit) nicht);
und eigentlich würde ich eine Neuinstallation vermeiden.
Auch manuelles Einspielen des SU bricht immer wieder ab.
Frage: Wenn es ohne Eure hilfreichen Ideen doch darauf hinausläuft, ein ".\setup /m:upgrade /IAcceptExchangeServerLicenseTerms" zu machen, was muß ich ggf. beachten, damit ich nicht komplett alles neu konfigurieren muß (konfig, user, db, etc)?
Vielen Dank und Euch ein entspanntes WE.
Ich habe mich zu einem "upgrade" entschloßen, jetzt gibt das Setup folgenden Fehler aus:
"Der Typeninitialisierer Microsoft.Exchange.Management.Powershell.CmdletConfigurationEntr hat eine Ausnahme verursacht. Die
Datei oder Assembly "Microsoft.Exchange.Data.Mailbox.Loadbalance Version-15.0.0.0" der Rest ist nicht mehr zu lesen…
Weiß jemand noch einen Rat?