{"id":215385,"date":"2019-03-07T00:14:00","date_gmt":"2019-03-06T23:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=215385"},"modified":"2024-10-04T11:20:19","modified_gmt":"2024-10-04T09:20:19","slug":"jan-2019-sicherheitsupdate-kb4471389-killt-exchange-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/07\/jan-2019-sicherheitsupdate-kb4471389-killt-exchange-server\/","title":{"rendered":"Jan. 2019 Sicherheitsupdate KB4471389 killt Exchange Server"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/02\/Update.jpg\" alt=\"Windows Update\" width=\"54\" height=\"54\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/03\/07\/jan-2019-security-update-kb4471389-kills-exchange-server\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Im Januar 2019 hat Microsoft das Sicherheitsupdate KB4471389 f\u00fcr Exchange Server 2013, 2016 und 2019 freigegeben. Bei manchen Systemen f\u00fchrt das Update aber zu Installationsfehlern, so dass der Exchange Server unbrauchbar werden kann.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/dd843362ddf046ed8d47cb1a19f06351\" alt=\"\" width=\"1\" height=\"1\" \/>Aufh\u00e4nger f\u00fcr diesen Beitrag ist ein Leserhinweis an die heise.de-Redaktion, die mir dann als Stellungnahme zuging. In Absprache mit heise.de stelle ich das Thema hier im Blog ein \u2013 vielleicht gibt es noch weitere Betroffene, R\u00fcckmeldungen und weitere Erkenntnisse.<\/p>\n<h2>Das Sicherheitsupdate KB4471389<\/h2>\n<p>Das Sicherheitsupdate KB4471389 schlie\u00dft eine Sicherheitsl\u00fccke in der Microsoft Exchange-Software, die eine Remote-Code-Ausf\u00fchrung erm\u00f6glicht, wenn die Software Objekte im Speicher nicht ordnungsgem\u00e4\u00df verarbeitet. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, k\u00f6nnte beliebigen Code im Kontext des Systembenutzers ausf\u00fchren. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten erstellen.<\/p>\n<p>KB4471389 steht als kumulatives Updates f\u00fcr verschiedene Exchange Server-Versionen zur Verf\u00fcgung:<\/p>\n<ul>\n<li>Security Update For Exchange Server 2013 CU21 (KB4471389)<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/de-de\/download\/details.aspx?id=57757\" target=\"_blank\" rel=\"noopener noreferrer\">ecurity Update For Exchange Server 2016 CU10 (KB4471389)<\/a><\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/de-de\/download\/details.aspx?id=57756\" target=\"_blank\" rel=\"noopener noreferrer\">Security Update For Exchange Server 2019 (KB4471389)<\/a><\/li>\n<\/ul>\n<p>Im Microsoft Update Catalog steht dieses Update ebenfalls <a href=\"https:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB4471389\" target=\"_blank\" rel=\"noopener noreferrer\">zum Download<\/a> bereit. Eine englischsprachige \u00dcbersicht findet sich auch in <a href=\"https:\/\/eightwone.com\/2019\/01\/14\/security-updates-exchange-2013-2016-2019\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a>.<\/p>\n<h2>Exchange-Killer Sicherheitsupdate KB4471389<\/h2>\n<p>Bei Steven K. f\u00fchrte dieses Sicherheitsupdate zum Ausfall des Exchange Servers und es blieb nur noch eine Reparaturinstallation, um Exchange wieder zum Laufen zu bringen. Dazu schrieb Steven K.:<\/p>\n<blockquote><p>Das Sicherheitsupdate KB4471389 wurde ohne eingreifen des Admins auf unserem Exchange Server 2016 automatisch installiert (\u00fcber Windows Update, automatische Installation deaktiviert).<\/p>\n<p>Das Update ist bei der Installation fehlgeschlagen und hat daf\u00fcr gesorgt, dass alle Exchange Dienste deaktiviert waren. Das manuelle starten der Dienste und das erweiterte Troubleshooting brachte keinen Erfolg und brachten den HTTP Error 404.<\/p>\n<p>Die Deinstallation des Updates war ebenfalls nicht m\u00f6glich und ist nach mehreren Versuchen nach ca. 45 Minuten abgebrochen. Eine manuelle Neuinstallation des Updates schlug auch nach kurzer Zeit fehl.<\/p>\n<p>Eine Recherche im Internet zeigt, dass das Problem schon bei mehreren Usern aufgetreten ist und Microsoft das Problem nicht eingesteht. Auch der Microsoft Support konnte uns nicht helfen und ist ratlos.<\/p><\/blockquote>\n<p>Das Sicherheitsupdate KB4471389 wurde also, laut diesem Nutzer, durch Microsoft zwangsweise installiert. Nach der Update-Installation funktioniert der Exchange Server 2016 nicht mehr. Der einziger Weg zur L\u00f6sung war eine Reparaturinstallation.<\/p>\n<h2>Weitere Fundstellen zum gleichen Problem<\/h2>\n<p>Geht man nach KB4471389 auf die Suche, st\u00f6\u00dft man auf verschiedene Webseiten, wo von Installationsproblemen berichtet wird.<\/p>\n<ul>\n<li><a href=\"https:\/\/community.spiceworks.com\/topic\/2186309-failed-security-update-for-exchange-server-2019-kb4471389-patch\" target=\"_blank\" rel=\"noopener noreferrer\">Dieser Spiceworks-Post<\/a> berichtet von einer gescheiterten Installation bei Exchange Server 2019.<\/li>\n<li>Auf administrator.de gibt es <a href=\"https:\/\/administrator.de\/forum\/exchange-2019-update-schl%C3%A4gt-fehl-dienste-starten-nicht-398186.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Post<\/a>, wo das Exchange 2019 Update ebenfalls fehl schlug.<\/li>\n<li>Auf Technet gibt es diesen Forenthread, wo eine gescheiterte Installation bei Exchange Server 2016 beklagt wird.<\/li>\n<li>Auf reddit.com gibt es <a href=\"https:\/\/www.reddit.com\/r\/exchangeserver\/comments\/aeh73h\/possible_headsup_re_kb4471389\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Thread<\/a>, der ebenfalls eine gescheiterte (automatische) Installation berichtet.<\/li>\n<\/ul>\n<p>Dort beklagen sich die Betroffenen, dass die Exchange Dienste nach der gescheiterten Installation leider nicht mehr starten. Den Betroffenen blieb wohl nur, ein altes Backup einzuspielen.<\/p>\n<h3>Ein bekanntes Problem bei Update KB4471389<\/h3>\n<p>F\u00fcr Update KB4471389 hat Microsoft <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4471389\/description-of-the-security-update-for-microsoft-exchange-server-2019\" target=\"_blank\" rel=\"noopener noreferrer\">diesen KB-Beitrag<\/a> ver\u00f6ffentlicht, in der unter bekannten Problemen auch ein Installationsabbruch aufgef\u00fchrt wird.<\/p>\n<blockquote><p>When you try to manually install this security update by double-clicking the update file (.msp) to run it in \"normal mode\" (that is, not as an administrator), some files are not correctly updated.<\/p>\n<p>When this issue occurs, you don't receive an error message or any indication that the security update was not correctly installed. Also, Outlook Web Access (OWA) and the Exchange Control Panel (ECP) may stop working. This issue occurs on servers that are using user account control (UAC). The issue occurs because the security update doesn't correctly stop certain Exchange-related services.<\/p><\/blockquote>\n<p>Dieser Abbruch tritt auf, wenn die Installation auf Systemen mit Benutzerkontensteuerung (UAC) nicht mit administrativen Berechtigungen, z.B. per Doppelklick auf die Update-Datei, ausgef\u00fchrt wird. Dann kann der Installer die Exchange-Dienste nicht beenden. Microsoft schl\u00e4gt vor, das Update manuell \u00fcber <em>Als Administrator ausf\u00fchren <\/em>zu starten.<\/p>\n<blockquote><p>F\u00fcr mich erkl\u00e4rt der Microsoft-KB-Artikel aber nicht, warum ein kumulatives Exchange Server-Update, welches vom Windows Update-Dienst installiert werden soll, wegen fehlender Berechtigungen scheitert. Irgend etwas wurde da von Microsoft vermurkst.<\/p><\/blockquote>\n<p>In <a href=\"https:\/\/community.spiceworks.com\/topic\/2186309-failed-security-update-for-exchange-server-2019-kb4471389-patch\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Spiceworks-Thread<\/a> gibt es den Hinweis, dass die obige Microsoft-Anleitung nicht weiterhilft. Ist die Installation des Update KB4471389 gescheitert, scheinen Dienste besch\u00e4digt zu sein \u2013 so dass man nur noch auf ein Backup des Systems zur\u00fcckgreifen kann.<\/p>\n<h2>Noch ein paar Hinweise<\/h2>\n<p>Als mir diese Meldung auf den Tisch kam, ging mir der Gedanke 'da war doch was' durch den Kopf. Im August 2018 hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/23\/probleme-mit-exchange-server-2016-update-kb4340731\/\">Probleme mit Exchange Server 2016 Update KB4340731<\/a> einen Erfahrungsbericht eines Administrators verarbeitet. Dieser berichtet von Installationsfehlern und Folgeproblemen beim Sicherheitsupdate KB4340731. Es gibt im Thread unter administrator.de auch ein Script, um die inaktiven Dienste nach dem Update wieder zu aktivieren. In der Diskussion kam aber der Hinweis, dass nicht immer alle Dienste zu aktivieren seien.<\/p>\n<p>Im Internet habe ich <a href=\"https:\/\/web.archive.org\/web\/20210126180912\/https:\/\/blog.orbit.de\/2016\/03\/17\/wenn-das-exchange-2013-rollup-fehlschlaegt-oder-nur-mal-schnell-updates-installieren\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Blog-Beitrag<\/a> aus dem Jahr 2016 gefunden, der die Abl\u00e4ufe bei der Installation eines kumulativen Updates eingeht. Dieses liefert eine m\u00f6gliche Erkl\u00e4rung: Bei der Installation eines kumulativen Updates werden alle Exchange Dienste und abh\u00e4ngige Dienste, auf \"Deaktiviert\" gesetzt. Grund ist, dass w\u00e4hrend der Installation des Rollups nichts mit den Installationsroutinen kollidieren kann (By Design).<\/p>\n<p>Wenn der Installer aber nicht mit administrativen Berechtigungen l\u00e4uft, kann er die Dienste nicht stoppen. Dann geht die Update-Installation schief, und die Dienste werden anschlie\u00dfend nicht mehr gestartet, die Exchange-Dienste sind nicht mehr erreichbar.<\/p>\n<p>In diesem <a href=\"https:\/\/www.reddit.com\/r\/exchangeserver\/comments\/aeh73h\/possible_headsup_re_kb4471389\/\" target=\"_blank\" rel=\"noopener noreferrer\">reddtit.com-Thread<\/a> wird noch auf einen <a href=\"https:\/\/web.archive.org\/web\/20240102183220\/http:\/\/adam1115sblog.blogspot.com\/2014\/03\/exchange-2013-blank-ecp-owa-screen.html\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag aus dem Jahr 2014<\/a> verwiesen. Dieser befasst sich mit dem Problem dass bei Exchange 2013 nach einem 'Ereignis' pl\u00f6tzlich kein Zugriff mehr auf OWA oder ECP m\u00f6glich ist. Der Artikel schl\u00e4gt noch ein paar Reparturschritte vor, um den Exchange Server ggf. wieder zum Laufen zu bekommen. Ob das bei obigem Problem hilft, kann ich nicht beurteilen \u2013 ich habe keine Aktien in Exchange Server.<\/p>\n<p>Abschlie\u00dfende Frage: War jemand von den Problemen betroffen? Sind Ursachen abseits der obigen Ausf\u00fchrungen oder alternative Reparaturanweisungen bekannt?<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/02\/07\/sicherheitsempfehlung-adv190007-fr-exchange-server\/\">Sicherheitsempfehlung ADV190007 f\u00fcr Exchange-Server<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/26\/ad-und-exchange-server-mittels-ews-api-angreifbar\/\">AD und Exchange Server mittels EWS API angreifbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/23\/probleme-mit-exchange-server-2016-update-kb4340731\/\">Probleme mit Exchange Server 2016 Update KB4340731<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im Januar 2019 hat Microsoft das Sicherheitsupdate KB4471389 f\u00fcr Exchange Server 2013, 2016 und 2019 freigegeben. Bei manchen Systemen f\u00fchrt das Update aber zu Installationsfehlern, so dass der Exchange Server unbrauchbar werden kann.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,2557],"tags":[5418,7469,154,4315],"class_list":["post-215385","post","type-post","status-publish","format-standard","hentry","category-update","category-windows-server","tag-exchange-server","tag-kb4471389","tag-probleme","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=215385"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215385\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=215385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=215385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=215385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}