[English]Microsoft hat zum 28. September 2021 die vierteljährlichen Exchange Cumulative Updates (CU) für September 2021 freigegeben. Die vierteljährlichen kumulativen Updates (CUs) sind für Exchange Server 2016 und Exchange Server 2019 verfügbar. Diese CUs enthalten Korrekturen für von Kunden gemeldete Probleme, alle zuvor veröffentlichten Sicherheitsupdates und eine neue Sicherheitsfunktion. Als Neuerung wird zudem der Microsoft Exchange Emergency Mitigation Service eingeführt.
Anzeige
Release-Details und Downloads
Im Techcommunity-Beitrag Released: September 2021 Quarterly Exchange Updates hat Microsoft zum 28. September 2021 die Download-Details für die verfügbaren vierteljährlichen Exchange Cumulative Updates (CU) für September 2021 angegeben:
- Exchange Server 2019 Cumulative Update 11 (KB5005334), VLSC Download, Download
- Exchange Server 2016 Cumulative Update 22 (KB5005333), Download, UM Lang Packs
Die Liste der behobenen Probleme lassen sich in den verlinkten Supportbeiträgen KB5005334 und KB5005333 nachlesen. Für das CU 11 für Exchange Server 2019 und für das CU 22 für Exchange Server 2016 ist .NET Framework 4.8 erforderlich. Sicherheitsrelevante Probleme scheinen in diesen CUs nicht behoben worden zu sein.
- Vor dem Update sollten Administratoren das Exchange Server-Autorisierungszertifikat überprüfen. Weitere Informationen finden sich in diesem KB-Artikel.
- Wird Load Balancing verwendet, finden sich in diesem KB-Artikel weitere Informationen zur Aktualisierung.
Die mit diesem Updates einhergehenden bekannten Probleme sind im Detail in den beiden verlinkten Supportbeiträgen KB5005334 und KB5005333 nachzulesen. Microsoft empfiehlt allerdings, die Updates in ihrer Laborumgebung zu testen, bevor der Installationsprozess durchgeführt wird.
Änderungen/Neuerungen in CU11/CU22
Wie bereits im Blog-Beitrag Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service angesprochen, wird mit den September 2021 CUs der Emergency Mitigation Service installiert. Dieser Dienst kann bei kritischen Sicherheitsproblemen in der Exchange-Software die benötigten Schritte einleiten, um die Schwachstellen automatisch auf den Microsoft Exchange Servern zu entschärfen oder zu beseitigen. Dadurch soll Exchange gegenüber kritischen Schwachstellen, die nicht umgehend durch Patches geschlossen werden, gehärtet werden.
Anzeige
Wegen des neu eingeführten Emergency Mitigation Service hat Microsoft folgende Änderungen beim Setup der neuen CUs vorgenommen.
- Der Schalter für die unbeaufsichtigte Einrichtung (unattended setup switch) hat sich geändert. Der bisherige Schalter /IAcceptExchangeServerLicenseTerms wird ab den CUs vom September 2021 nicht mehr funktionieren. Es sind die Optionen /IAcceptExchangeServerLicenseTerms_DiagnosticDataON oder /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF für unbeaufsichtigte und skriptgesteuerte Installationen zu verwenden.
- Das IIS-URL-Rewrite-Modul ist jetzt eine Voraussetzung für die Exchange Server-Installation. Es muss separat installiert werden und wird nicht als Teil von Exchange Setup installiert (Sie benötigen die x64 MSI-Version).
Details sind dem Techcommunity-Beitrag Released: September 2021 Quarterly Exchange Updates sowie den Supportbeiträgen für die Updates zu entnehmen.
Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Anzeige
Ich habe mich mal ein bisschen eingelesen und mit diesem CU Update wird ja der Dienst "Exchange Emergency Mitigation (EM)" eingeführt. Der Dienst ist im Standard aktiv und erlaubt es Microsoft Teile von Exchange Server quasi per Fernschalter zu deaktivieren.
Der Server prüft nach dem Update jede Stunde ob beim „Office Config Service" neue Regeln vorliegen und wendet diese auch direkt an. Das Ganze soll bei dringlichen Sicherheitsproblemen die betroffenen Komponenten aus der Schusslinie nehmen. Administratoren müssen die Regeln nach einem Update händisch aus dem Server entfernen.
Mein erster Gedanke war: Möchte man das für seine eigene Infrastruktur? Immerhin entsteht hier gerade ein zentraler Kill-Switch für alle Exchange-Server weltweit. Was ist, wenn Microsoft einen Fehler macht oder die Funktion von Dritten gekapert wird? Ehrlich gesprochen ist meine erste Reaktion ehr Unbehagen als Begeisterung. Wie geht es Euch damit?
Der zweite Gedanke in Reflektion von Hafnium war, ob dies nicht ein Henne-Ei-Problem erzeugen wird? Betroffen von dem Problem waren vor allem Systeme auf welchen über Wochen und Monate keine Updates installiert wurden. Auch hier im Blog wurde mehrfach berichtet. Man möchte also Exchange-Server, welche schlecht gewartet werden, durch ein Update besser absichern, welches diese aber möglichweise gar nicht erhalten werden. Im Ergebnis werden also vor allem jede Server Teil des Dienstes, welche ohnehin ordentlich gepflegt werden.
Natürlich kann man den Dienst abschalten, Microsoft hat dies an folgender Stelle dokumentiert:
https://docs.microsoft.com/en-us/exchange/exchange-emergency-mitigation-service?view=exchserver-2016
https://docs.microsoft.com/en-us/exchange/exchange-emergency-mitigation-service?view=exchserver-2019
Installieren wird man das Feature auf jeden Fall müssen, da Microsoft Sicherheitsupdates normalerweise nur für die letzten beiden CUs zur Verfügung stellt. Es bleibt aber die Frage ob man das Feature wirklich nutzen möchte? Für den Start werde ich auf diese Hilfestellung wohl erstmal verzichten und sehen welche Probleme es gibt, weil:
– Exchange Server bei uns nur im Backend läuft und nicht aus dem Internet erreichbar ist
– Unsere Server gewartet werden und zeitnah mit Updates versorgt werden
Rein subjektiv habe ich das Gefühl, dass Microsoft hier „Schlangenöl" verbaut, um den maroden Unterbau von Exchange-Server bzgl. IT-Security irgendwie lauffähig zu halten. Passt schematisch ein bisschen zu den Probleme mit Autodiscover, welche wohl seit fünf Jahren bekannt, aber nicht wert zu patchen sind:
https://www.heise.de/news/Passwort-Leak-Microsoft-will-die-Autodiscover-Luecke-seit-5-Jahren-nicht-beheben-6202623.html
Microsofts Verhältnis in Sachen IT-Sicherheit bleibt offenbar recht ambivalent.
Gruß Singlethreaded