[English]Microsoft hat zum 8. August Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Sicherheitsupdates schließen Schwachstellen in dieser Software. Die Updates sollen zeitnah auf den Systemen installiert werden, um die betreffenden Schwachstellen zu schließen.
Anzeige
Ich bin auf Twitter auf nachfolgenden Tweet des Exchange-Teams zu den Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 gestoßen.
Microsoft hat den Techcommunity-Beitrag Released: August 2023 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.
- Exchange Server 2016 CU23 entfernt
- Exchange Server 2019 CU12 entfernt und CU13 entfernt
SUs sind als selbstextrahierendes .exe-Paket sowie als Original-Update-Pakete (.msp-Dateien) erhältlich, und können aus dem Microsoft Update Catalog heruntergeladen werden. Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates Schwachstellen beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Details zu den Schwachstellen wurde keine genannt. Im Beitrag Microsoft Security Update Summary (8. August 2023) hatte ich diesbezüglich folgendes angegeben.
- CVE-2023-21709: EoP Schwachstelle in Microsoft Exchange Server; CVEv3 Score 9.8, important; Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er versucht, das Passwort für gültige Benutzerkonten zu erzwingen. Bei erfolgreicher Ausnutzung (als wenig wahrscheinlich eingestuft) könnte sich der Angreifer "als ein anderer Benutzer anmelden". Laut dem Advisory sind zusätzliche Schritte erforderlich, um diese Sicherheitslücke zu schließen. Nach der Anwendung des Patches muss ein PowerShell-Skript ausgeführt werden. Es wird empfohlen, die neuesten Informationen von Microsoft im Advisory nachzulesen, um diese Sicherheitslücke erfolgreich zu beheben.
- CVE-2023-38181, CVE-2023-38185, CVE-2023-35368, CVE-2023-38182, CVE-2023-35388, Microsoft Exchange Server Schwachstellen; CVEv3 Score 8.0 – 8.8 , important; Ein authentifizierter Angreifer kann durch Ausnutzung dieser Schwachstellen (als wenig wahrscheinlich eingestuft) Code über eine PowerShell-Remoting-Sitzung ausführen. Um diese Schwachstelle erfolgreich auszunutzen, müsste der Angreifer zunächst über LAN-Zugang und gültige Anmeldeinformationen für einen Exchange-Benutzer verfügen.
Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, wird empfohlen, diese Updates zur Absicherung sofort zu installieren. Beachtet Microsofts Hinweise zur Update-Installation, und was sonst zu beachten ist. Hier die Liste der behobenen Probleme:
Anzeige
Probleme in Verbindung mit den Sicherheitsupdates werden folgende angegeben:
Customers impacted by the upcoming Microsoft 365 AES256-CBC encryption change need to perform a manual action to enable new encryption algorithm after August 2023 SU is installed. Please see this KB article. We will remove the requirement for manual action in a future update.
Ergänzung: Es gibt aber erste Hinweise, dass die Update-Installation auf Exchange-Servern fehl schlägt, weil Dienste nicht mehr starten. Dennis hat mir auf Facebook den Hinweis auf seinen Workaround in Form eines Scripts gegeben, den er unter dem Alias bloodking in den Kommentaren im Exchange-Blog eingestellt hat (danke dafür). Laut Microsoft soll der Health Checker nach der Installation ausgeführt werden, um zu sehen, ob weitere Aktionen erforderlich sind.
Ergänzung: Das obige Script hilft nicht wirklich weiter – Microsoft hat die Sicherheitsupdates zurückgezogen – weiteres im Folgebeitrag Desaster Exchange August 2013-Sicherheitsupdate – nicht installieren!.
Ergänzung 2: Microsoft hat einen Workaround gepostet – siehe Workaround für Exchange August 2023 Sicherheits-Update Installationsprobleme.
Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.
Ähnliche Artikel:
Microsoft Security Update Summary (8. August 2023)
Patchday: Windows 10-Updates (8. August 2023)
Patchday: Windows 11/Server 2022-Updates (8. August 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (8. August 2023)
Microsoft Office Updates (8. August 2023)
Exchange Server Sicherheitsupdates (8. August 2023)
Desaster Exchange August 2023-Sicherheitsupdate – nicht installieren!
Workaround für Exchange August 2023 Sicherheits-Update Installationsprobleme
Anzeige
Achtung gibt wohl Problem auf Servern mit Deutscher Sprache Neue Sicherheitsupdates für Exchange Server (August 2023)
Kann ich bestätigen. Server 2016 + Exchange 2016 CU23. Deutsche Version. Tod nach Update.
Achtung: Das Update funktioniert nicht auf deutschen Exchange Servern! Es gibt auch schon Berichte, dass das Update bei manchen den kompletten Exchange zerschoßen hat.
Benutzer von der deutschen Exchange Version sollten von diesem Update vorerst absehen.
Gruß
Schwierige Sache – die Sicherheitslücken sind mit hohen CVSS-Scores versehen. Wenn jemand testen kann – den Hinweis von Dennis in obigem Text durchlesen – er hat den Exchange Server wohl zum Laufen bekommen.
Server auf deutsch, echt jetzt, wer tut sich so was an?
Absolut richtig! Server müssen natürlich in Mandarin (Hochchinesisch) installiert werden. Das weiß doch jeder.
Man liest jetzt auch von den ersten französischen Exchange Betreibern mit den selben Problemen. Microsoft wollte wohl mal wieder die "America first" Mentalität raushängen lassen ;)
Jetzt nicht das erste mal dass ein Exchange Update die Dienste deaktiviert. Aber so viele waren es glaube ich noch nie.
Bei mir war es nur ein Server, der Fehler schnell gefunden und der Fix ein wenig Klickarbeit, aber puh. Was soll das?
Da wacht man einmal um kurz vor 5 auf und liest deinen Blog… und dann die Mails vom RMM. Kaffee brauche ich heute keinen mehr ;-)
Wir hatten 15 Kunden Exchange Server 2016 – keiner war defekt und liesen sich mit dem Powershell Script s.u. wieder aktivieren. Datenbanken waren keine defekt. Eventuell war Glück im Spiel, da wir per NAble RMM Patchen und dort das Installationsfile ausgeführt wird und scheinbar überall ein Rollback erfolgte. Ich hoffe die Installation der Exchange ist nicht defekt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/bc-p/3894481/highlight/true#M36648
In der Beschreibung ist was falsch.
Der Exchange 2016 ist nur noch mit CU23 supported.
Die Links beziehen sich alle auf Exchange 2019
falsch:
Exchange Server 2016 CU12 und CU13
Danke, ist korrigiert – war spät die Nacht.
Das genannte Skript setzt lediglich standardisiert den Starttyp von Diensten. Das Problem des Update-Rollbacks auf den betroffenen Systemen wird nicht behoben. Die Systeme bleiben ungepatcht und angreifbar.
Des Weiteren ist es wahrscheinlich, dass das Skript nicht exakt den vorherigen Stand der Dienstekonfiguration "trifft". Dies sollte in jedem Falle geprüft werden (z.B.: "C:\ExchangeSetupLogs\ServiceControl.log").
Danach das HealthChecker-Skript ausführen.
Auch das SetupAssist-Skript kann helfen:
https://microsoft.github.io/CSS-Exchange/Setup/SetupAssist/
Das mit der Dienstkonfig ist ein guter Tip! Danke
kommt doch aufs Gleiche drauf an. Zur Not den Exchange erstmal vom Netz nennen (von außen nicht erreichbar machen) ist man erstmal safer…
Wäre echt ärgerlich, wenn der Kä$se noch Geld kosten würde. Gab auch was für unseren Ex – das Update gescheitert und dann alle Ex Dienste autom. deaktiviert :-) Mail DB sind in der M$ Cloud, kaputt sind aktuell nur die Freigaben etc die noch onprem sind. Die Migration dauert bei uns schon 3 Wochen. Schon lange nicht mehr so gelacht. kann das gar nicht mehr Ernst nehmen – wieder die Dienstleister, Entscheider und M$ sowieso nicht.
Bei MS steht aktuell ein erster Eintrag, dass es auch französische Systeme betrifft und ein Hinweis das sich wohl auch andere SUs (ggf. nachdem diese vorher entfernt wurden) nicht wieder installieren lassen.
Sollten sich da jetzt generell keine SU mehr installieren ist vielleicht mehr kaputt als nur das aktuelle SU.
Wir bekommen hier auf einem Node (der sich dummerweise trotz Einstellung "manuell" automatisiert die Patches gezogen hat!) beim starten der Dienste Kernel-Fehler.
Da ist in der Tat mehr kaputt und ich hab zus. das neue .NET Update in Verdacht.
Man fragt sich ja schon, wie MS ihre Software testet bevor diese für Millionen Server freigegeben wird.
Gibt es da keine automatisierten Tests mit hunderten Servern in verschiedenen Sprachen und Konfigurationen?
Warum wird so ein Update nicht sofort wieder zurückgezogen?
Aktuell ist es immer noch verfügbar.
Nach meinem Wissen gibt es NUR noch automatisierte Tests – das ist ja das Problem – MS braucht endlich wider echtes menschliches QM.
Haben sie doch: Uns…
Laut MS sollte es ja wohl schon helfen, selbst ohne Patch, den Command in den Server zu jagen, oder…
Although Microsoft recommends installing the security updates as soon as possible, running the script or the commands on a supported version of Exchange Server prior to installing the updates will address this vulnerability.
Kann das jemand bestätigen…
Hast du da eine Quelle dazu? Habe den Satz so nirgends entdeckt.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709
Entweder konnte in Seattle jemand nicht schlafen oder hat vor dem zu Bett gehen noch mal in sein Postfach geschaut:
Nun steht es hier: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/bc-p/3894481/highlight/true#M36648
seit einigen Minuten:
"""We are aware of Setup issues on non-English servers and have temporarily removed August SU from Windows / Microsoft update last night. If you are using a non-English language server, we recommend you wait with deployment of August SU until we provide more information."""
Wie spät ist es jetzt in Seattle
"We are aware of Setup issues on non-English servers and have temporarily removed August SU from Windows / Microsoft update last night. If you are using a non-English language server, we recommend you wait with deployment of August SU until we provide more information."
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811
Exchange 2016 engl. auf W2016 engl. keine Probleme! Skript noch nicht getestet. Health Checker zeigt folgerichtig noch CVE-2023-21709 Vulnerability…
Um 20.00 Uhr hat unser WSUS nochmals neue Exchange Updates gesynct, nachdem ich die von gestern heute – wie immer (da ich immer die aktuellsten manuell heruntelade) – abgelehnt hatte.
Es keimte schon Hoffnung auf, aber im Exchange Team Blog wird kein Re-Release erwähnt. Vermutlich ein Freigabefehler von MS, eine neuerliche Posse, meine Herren.
Oder hat jemand anderweitige Erfahrungen?
Heute noch das Skript laufen lassen. Outlook hing für 2 min. Danach bis jetzt alles gut einschließlich OWA und ActiveSync. Health Checker ist jetzt zufrieden…
Hallo,
Scheinbar scheitert es an einem lokalisierten Benutzerkonto:
https://support.microsoft.com/en-us/topic/exchange-server-2019-and-2016-august-2023-security-update-installation-fails-on-non-english-operating-systems-ef38d805-f645-4511-8cc5-cf967e5d5c75
Grüße