[English]Zahlreiche weltweit betriebene On-Premises Microsoft Exchange Server sind unsicher, weil diese nicht auf dem aktuellen Patchstand sind. Das setzt die Systeme Risiken aus, und es ist kritisch, ungepatchte Exchange Server zu betreiben. In einem Techcommunity-Artikel vom 26. Januar 2023 greift das Microsoft Exchange Team diesen Sachverhalt auf und fordert Administratoren auf, die Systeme dringend und unverzüglich zu patchen, so dass das neueste Sicherheitsupdate vom Januar 2023 installiert ist.
Anzeige
Ungepatchte Exchange Server als Risiko
Angreifer sind ständig im Internet auf der Suche nach ungepatchten Exchange-Servern in lokalen Umgebungen. Weltweit gibt es zu viele ungepatchter lokaler Exchange-Umgebungen, die für böswillige Akteure, die Daten exfiltrieren oder andere bösartige Handlungen begehen wollen, wertvoll sind.
- Die Postfächer der Benutzer gehackter Exchange-Instanzen enthalten oft wichtige und sensible Daten.
- Jeder Exchange-Server enthält eine Kopie des Unternehmensadressbuchs mit vielen Informationen, die für Social-Engineering-Angriffe nützlich sind.
- Zudem verfügt Exchange über tiefgreifende Active Directory Verknüpfungen und Berechtigungen innerhalb. In in einer hybriden Umgebung umfasst das auch den Zugriff auf die verbundene Cloud-Umgebung.
Administratoren müssen daher ihre Exchange-Server vor Angriffen, die bekannte Sicherheitslücken ausnutzen, schützen. Dazu sind die letzten CUs sowie die aktuellen Sicherheitsupdates zu installieren.
Microsoft fordert zum Patchen auf
Microsofts Microsoft Exchange Team hat dazu den Techcommunity-Artikel Protect Your Exchange Servers zum 26. Januar 2023 veröffentlicht. Ich bin über den Tweet und diesen Artikel der Kollegen von Bleeping Computer darauf aufmerksam geworden.
Anzeige
Auf einem aktuellen System müssen die letzten CUs zum Schließen bekannter Schwachstellen installiert sein. Aktuell sind dies CU12 für Exchange Server 2019 (4.2022), CU23 für Exchange Server 2016 (4.2022) und CU23 für Exchange Server 2013 (3.2021). Darüber hinaus ist das aktuelle Sicherheitsupdate für die unterstützten Exchange Server zu installieren. Letztmalig wurden ja am 10. Januar 2023 Sicherheitsupdates für unterstützte Exchange Server veröffentlicht (siehe Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen).
Exchange Server CUs und SUs sind kumulativ, sodass nur die neuesten verfügbaren CU installiert werden müssen. Zuerst sind auf den betreffenden Servern das jeweils neueste CU zu installieren. Dann ist zu prüfen, ob nach der Veröffentlichung der CU noch weitere SUs veröffentlicht wurden. Trifft dies zu, ist das neueste Sicherheitsupdate (SU) zu installieren.
Reagieren bei Schwachstellen
Es passiert immer wieder, dass Schwachstellen bekannt werden, bevor ein Sicherheitsupdate (SU) freigegeben wurde. Zur Abschwächung bekannter Sicherheitslücken kann vor der Freigabe einer SU entweder der Exchange Emergency Mitigation Service (nimmt die Maßnahmen automatisch vor) verwendet werden. Oder der Administrator wenden das Exchange On-Premises Mitigation Tool auf dem betreffenden On-Premises Server an.
Diese Maßnahmen bieten einen vorübergehenden Schutz, bis das Sicherheitsupdate (SU) verfügbar ist und installiert werden kann. In einigen Fällen können die Abschwächungsmaßnahmen nicht ausreichen, um vor allen Varianten eines Angriffs zu schützen. Solche Fälle gab es in den letzten Jahren ja häufiger, wo Microsoft die Methoden zur Abschwächung bekannter Schwachstellen mehrfach nachbessern musste. Daher ist die Installation eines geeigneten SU (nach Verfügbarkeit) die einzige Möglichkeit, Exchange Server zu schützen.
Installationsnachbereitungen
Nach der Installation eines Updates kann es manuelle Aufgaben geben, die ein Administrator ausführen muss, schreibt Microsoft. Redmond empfiehlt, nach der Installation eines Updates immer den Health Checker auszuführen. Dieser prüft, ob solche Aufgaben ansteht und Checker bietet Links zu Artikeln, die eine schrittweise Anleitung zum Ausführen der Aufgaben enthalten. Im Techcommunity-Artikel glaubt Microsoft, dass die Aktualisierung der Exchange-Server ganz einfach ist (Administratoren können da eher mit alternativen Erfahrungen aufwarten) und gibt noch folgende Ratschläge:
- Lesen Sie immer unsere Blog-Posts, in denen bekannte Probleme und empfohlene oder erforderliche manuelle Maßnahmen aufgeführt sind. Befolgen Sie bei CUs stets Microsofts Anleitungen und bewährten Verfahren, und verwenden Sie bei SUs den Security Update Guide, um relevante Informationen zu finden.
- Lesen Sie unbedingt unsere FAQ zu Updates im Artikel Why Exchange Server Updates Matter.
- Verwenden Sie den Exchange Server Health Checker, um Ihre Server zu inventarisieren und festzustellen, welche Exchange-Server Updates benötigen (CUs oder SUs) und ob manuelle Maßnahmen ergriffen werden müssen.
- Sobald Sie wissen, welche Updates erforderlich sind, verwenden Sie die Schritt-für-Schritt-Anleitung für Exchange-Updates (auch bekannt als Exchange-Update-Assistent), um die derzeit ausgeführte CU und die Ziel-CU auszuwählen und Anweisungen für die Aktualisierung Ihrer Umgebung zu erhalten.
- Wenn während der Update-Installation Fehler auftreten, kann das SetupAssist-Skript bei der Fehlerbehebung helfen. Und wenn etwas nach dem Update nicht richtig funktioniert, werfen Sie einen Blick in den Update Troubleshooting Guide, der die häufigsten Probleme und deren Behebung behandelt.
- Stellen Sie sicher, dass Sie alle erforderlichen Updates für Windows Server und andere Software installieren, die möglicherweise auf Ihren Exchange-Servern ausgeführt werden.
- Stellen Sie sicher, dass Sie alle erforderlichen Updates für abhängige Server installieren, einschließlich Active Directory, DNS und andere von Exchange verwendete Server.
Also laut Microsoft alles ganz einfach. Ein Administrator hat es mal so formuliert: "Zittern nach dem Exchange Update ist zittern vor dem nächste Sicherheitsupdate". Oder wie sind eure Erfahrungen?
Ähnliche Artikel:
Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Exchange Health Checker – Script-Erweiterungen von Frank Zöchling
Microsoft Exchange Januar 2023 Patchday-Nachlese: Dienste starten nicht etc.
Microsoft weist auf Supportende für Exchange Server 2013 zum 11. April 2023 hin
Microsoft macht Exchange-Umfrage zur Verbesserung des Update-Prozesses (Auto-Update)
Exchange 2019: Löst das Januar 2023 SU mit CU 12 wieder das Index-Problem aus?
Anzeige
Hallo zusammen,
beim Exchange-Update-Assistent gerade mal geschaut (als Test):
Exchange 2016 ausgewählt,
Installiertes CU: CU21
Required CU: CU23
Als Info kommt das man zunächst CU22 und dann CU23 installieren soll.
Wie war das mit "kumulativ"?
Auch bei Exchange 2019 von CU10 nach CU12 wird vorgeschlagen, zunächst CU11 und dann CU12 zu installieren.
Ich vermute, dass es sich aktuell um einen Fehler im Update-Assistenten handelt.
Oder was meint ihr?
Ja, ist ein Fehler, CUs sind kumulativ.
Aber ernsthaft: Ihr lasst einen Exchange satte 10 Monate ungepatcht?
Das letzte SU für CU21 gabs im März 2022!
Ich würde da ganz ganz dringend auf CU23 updaten und das Januar 2023-SU installieren!
Hallo,
nein, er ist nicht ungepatcht, ich hatte geschrieben
"gerade mal geschaut (als Test)"
Ich habe das für 2016 und 2019 gemacht, gleiches Ergebnis – s.o.
Es ging mir um die Korrektheit der Informationen des Update-Assistenten.
Mehr nicht, kannst also beruhigt sein :-)
nein der Assistent hat Recht: CU21 auf CU23 bzw. CU10 auf CU12 sind Upgrades von einer nicht mehr unterstützten Version auf die aktuelle. es gibt hier sogar ein eigenes whitepaper dazu.
Praktisch ändert das am Upgrade nichts, es treten öfter Fehler nach der Installation auf z.b. sendet der Server noch dem Upgrade keine Mails mehr raus, bleiben in der Queue mit dem Hinweis dass kein verfügbarer connector zur Verfügung steht, den Server aus dem connector kicken und wieder einfügen reicht dann. usw…
der offizielle Upgrade Pfad will eben jedes CU eingespielt haben.
Bleibt die Frage: warum heißen die Updates dann "kumulativ", wenn sie es nicht sind? und warum war es in den alten Versionen des Assistenten nicht so?
da die CUs immer für ein Upgrade oder eine Neuinstallation verwendet werden können, jedes CU beinhaltet alle Features und Fixes der vorher veröffentlichten CUs inkl. aller SUs bis zum Release Datum. Die Upgrades von noch unterstützten CUs machen aber wesentlich weniger Probleme als ein Upgrade von einem nicht unterstützten CU,
ich finde den eigentlichen Support Zeitraum von theoretisch vorher 6 Monaten nun wenigstens 1 Jahr für ein CU aber als nächstes "Fi** Di**" von Microsoft an alle die noch nicht in der Cloud sind und sich wagen einen on Prem Server zu verwenden.
Keine Ahnung was der "Exchange-Update-Assistant" ist, aber die Release Notes von CU23 sind da ganz klar und ja, die CUs sind kumulative Updates:
"The Cumulative Update 23 package can be used to run a new installation of Exchange Server 2016 or to upgrade an existing Exchange Server 2016 installation to Cumulative Update 23.
You don't have to install any previously released Exchange Server 2016 cumulative updates or service packs before you install Cumulative Update 23."
https://support.microsoft.com/en-us/topic/cumulative-update-23-for-exchange-server-2016-kb5011155-98183ada-e4cd-465f-b201-69d40fb74678
Updates sind gut, nur sollten danach die Dienste auch wieder von allein durchstarten.
2012R2 / 2016 DAG
Danke MS :-)