{"id":284819,"date":"2023-08-10T10:09:48","date_gmt":"2023-08-10T08:09:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284819"},"modified":"2023-08-23T00:39:22","modified_gmt":"2023-08-22T22:39:22","slug":"workaround-fr-exchange-august-2023-sicherheits-update-installationsprobleme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/10\/workaround-fr-exchange-august-2023-sicherheits-update-installationsprobleme\/","title":{"rendered":"Workaround f&uuml;r Exchange August 2023 Sicherheits-Update Installationsprobleme"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Exchange Logo\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2022\/06\/Exchange.jpg\" alt=\"Exchange Logo\" width=\"177\" height=\"155\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/08\/10\/workaround-for-exchange-august-2023-security-update-install-issue\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kleiner Nachtrag vom August 2023-Patchday, der Administratoren von Microsoft Exchange 2016\/2019-Installationen zur Verzweiflung trieb. Auf nicht englischsprachigen Systemen klappte die Installation nicht und der Exchange-Server war danach teilweise tot. Ich hatte ja zeitnah in meinen Beitr\u00e4gen gewarnt und von Microsoft wurden die Sicherheitsupdates August 2023 f\u00fcr Exchange wieder zur\u00fcckgezogen. Nun hat Microsoft einen Supportbeitrag mit einem Workaround zu diesen Problemen ver\u00f6ffentlicht.<\/p>\n<p><!--more--><\/p>\n<h2>Update-Probleme mit August 2023-Updates<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/283b7d7ac1094c40a2e7b11f95a0fd7a\" alt=\"\" width=\"1\" height=\"1\" \/>Bereits im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/08\/exchange-server-sicherheitsupdates-8-august-2023\/\">Exchange Server Sicherheitsupdates (8. August 2023)<\/a> hatte ich darauf verwiesen, dass Benutzer in Deutschland massive Probleme bei der Installation der August 2023-Sicherheitsupdates f\u00fcr Exchange 2016\/2019 hatten. Mit den Updates sollten folgende Schwachstellen geschlossen werden (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/08\/microsoft-security-update-summary-8-august-2023\/\">Microsoft Security Update Summary (8. August 2023)<\/a>):<\/p>\n<ul>\n<li><u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-21709\">CVE-2023-21709<\/a><\/u>: EoP Schwachstelle in Microsoft Exchange Server; CVEv3 Score 9.8, important; Ein nicht authentifizierter Angreifer k\u00f6nnte diese Schwachstelle ausnutzen, indem er versucht, das Passwort f\u00fcr g\u00fcltige Benutzerkonten zu erzwingen. Bei erfolgreicher Ausnutzung (als wenig wahrscheinlich eingestuft) k\u00f6nnte sich der Angreifer \"als ein anderer Benutzer anmelden\". Laut dem Advisory sind zus\u00e4tzliche Schritte erforderlich, um diese Sicherheitsl\u00fccke zu schlie\u00dfen. Nach der Anwendung des Patches muss ein <a href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Security\/CVE-2023-21709\/\">PowerShell-Skript<\/a> ausgef\u00fchrt werden. Es wird empfohlen, die neuesten Informationen von Microsoft im Advisory nachzulesen, um diese Sicherheitsl\u00fccke erfolgreich zu beheben.<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-38181\">CVE-2023-38181<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-38185\">CVE-2023-38185<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-35368\">CVE-2023-35368<\/a><u><\/u>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-38182\">CVE-2023-38182<\/a><u><\/u>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-35388\">CVE-2023-35388<\/a>, Microsoft Exchange Server Schwachstellen; CVEv3 Score 8.0 \u2013 8.8 , important; Ein authentifizierter Angreifer kann durch Ausnutzung dieser Schwachstellen (als wenig wahrscheinlich eingestuft) Code \u00fcber eine PowerShell-Remoting-Sitzung ausf\u00fchren. Um diese Schwachstelle erfolgreich auszunutzen, m\u00fcsste der Angreifer zun\u00e4chst \u00fcber LAN-Zugang und g\u00fcltige Anmeldeinformationen f\u00fcr einen Exchange-Benutzer verf\u00fcgen.<\/li>\n<\/ul>\n<p>Administratoren von nicht englischsprachigen Exchange-Installationen liefen bei der Installation der Sicherheitsupdates vom August 2023 in Installationsfehler (z.B. 0x80070643 oder 1603 (siehe auch den <a href=\"https:\/\/www.frankysweb.de\/neue-sicherheitsupdates-fuer-exchange-server-august-2023\/\" target=\"_blank\" rel=\"noopener\">Beitrag<\/a> von Frank Z\u00f6chling). Zum 9. August 2023 hat Microsoft dann das Update zur\u00fcckgezogen und empfahl die Installation zur\u00fcckzustellen:<\/p>\n<blockquote>\n<blockquote dir=\"ltr\" style=\"margin-right: 0px;\">\n<p style=\"background-color: #ffffd0;\">We are aware of Setup issues on non-English servers and have temporarily removed August SU from Windows \/ Microsoft update last night. If you are using a non-English language server, we recommend you wait with deployment of August SU until we provide more information. <strong>Update:<\/strong> Please see Known Issues below for more information.<\/p>\n<\/blockquote>\n<\/blockquote>\n<p>siehe den Hinweis im Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-august-2023-exchange-server-security-updates\/ba-p\/3892811\">Released: August 2023 Exchange Server Security Updates<\/a> sowie in meinem Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/09\/desaster-exchange-august-2013-sicherheitsupdate-nicht-installieren\/\">Desaster Exchange August 2023-Sicherheitsupdate \u2013 nicht installieren!<\/a>.<\/p>\n<h2>Es gibt einen Workaround<\/h2>\n<p>Microsoft hat in der Nacht vom 9. auf den 10. August 2023 dann einen Supportbeitrag <a href=\"https:\/\/web.archive.org\/web\/20230813004103\/https:\/\/support.microsoft.com\/en-us\/topic\/exchange-server-2019-and-2016-august-2023-security-update-installation-fails-on-non-english-operating-systems-ef38d805-f645-4511-8cc5-cf967e5d5c75\" target=\"_blank\" rel=\"noopener\">Exchange Server 2019 and 2016 August 2023 security update installation fails on non-English operating systems<\/a> ver\u00f6ffentlicht ((danke an Stefan A f\u00fcr den <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/09\/desaster-exchange-august-2013-sicherheitsupdate-nicht-installieren\/#comment-154575\">entsprechenden Kommentar<\/a>).\u00a0 Zum Fehlerbild best\u00e4tigt Microsoft die Beobachtungen der Blog-Leser:<\/p>\n<blockquote><p>Wird das Microsoft Exchange Server 2019 oder 2016 August 2023 Sicherheitsupdate (SU) auf einem Windows Server-basierten Ger\u00e4t installiert, auf dem eine nicht-englische Betriebssystemversion ausgef\u00fchrt wird, wird das Setup pl\u00f6tzlich angehalten und die \u00c4nderungen werden zur\u00fcckgesetzt. Die Exchange Server-Dienste bleiben jedoch in einem deaktivierten Zustand.<\/p><\/blockquote>\n<p>Interessant ist da die Begr\u00fcndung f\u00fcr dieses Verhalten, denn Microsoft gibt ein ein Lokalisierungsproblem im Exchange Server August 2023 SU-Installationsprogramm an, der zu diesen Installationsproblemen f\u00fchrt, wenn es sich um ein nicht englischsprachiges Windows Server-System handelt, auf dem Exchange l\u00e4uft. Meine Interpretation ist, dass ein AD-Benutzer <em>Network Service<\/em> nicht angelegt werden kann.<\/p>\n<p>Um die August 2023-Updates erfolgreich zu installieren, schl\u00e4gt Microsoft betroffenen Administratoren folgende Schritte vor. Sofern bereits versucht wurde, die SU zu installieren, ist der Dienststatus zur\u00fcckzusetzen, bevor das Setup erneut ausgef\u00fchrt wird. Dies l\u00e4sst sich mit einem PowerShell-Skript, welches mit folgenden Schritte in der PowerShell-Konsole mit Administratorrechten auszuf\u00fchren ist:<\/p>\n<ul>\n<li>Wechseln Sie in das folgende Verzeichnis:: \\Exchange Server\\V15\\Bin.<\/li>\n<li>F\u00fchren sie folgendes Script <em>.\\ServiceControl.ps1 AfterPatch<\/em> aus .<\/li>\n<\/ul>\n<p>Im Anschluss ist der Windows Server neu zu starten. Nach dieser Vorbereitung muss dann das fehlende Konto im Active Directory (AD) manuell angelegt werden. Dazu gibt Microsoft vor, den folgenden Befehl auszuf\u00fchren:<\/p>\n<pre>New-ADUser -Name \"Network Service\" -SurName \"Network\" -GivenName \"Service\" -DisplayName \"Network Service\" -Description \"Dummy user to work around the Exchange August SU issue\" -UserPrincipalName \"Network Service@$((Get-ADForest).RootDomain)\"<\/pre>\n<p>Danach ist die AD-Replikation abzuwarten (bis zu 15 Minuten). Im Anschluss kann dann die Installation des Exchange Server Sicherheitsupdates neu gestartete werden. Die Installation sollte nun erfolgreich verlaufen, verspricht Microsoft zumindest. Nach der Installation sind folgende Befehle auszuf\u00fchren.<\/p>\n<pre>$acl = Get-Acl -Path \"HKLM:\\SOFTWARE\\Microsoft\\MSIPC\\Server\"\r\n$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier(\"S-1-5-20\")), 983103, 3, 0, 0)\r\n$acl.SetAccessRule($rule)\r\nSet-Acl -Path \"HKLM:\\SOFTWARE\\Microsoft\\MSIPC\\Server\" -AclObject $acl<\/pre>\n<p>Im Microsoft Support-Beitrag ist das obige Script in der Zeile $rule nicht lauff\u00e4hig, weil die schlie\u00dfende Klammer fehlt &#8211; ist in obigem Code korrigiert.<\/p>\n<p>Im Anschluss ist der Exchange-Server neu zu starten, um die Installation abzuschlie\u00dfen. Im Nachgang zur erfolgreichen Installation des Sicherheitsupdates auf dem Exchange-Servers l\u00e4sst sich das obige, manuell angelegte, AD-Konto wieder l\u00f6schen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2023\/08\/08\/microsoft-security-update-summary-8-august-2023\/\">Microsoft Security Update Summary (8. August 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/08\/exchange-server-sicherheitsupdates-8-august-2023\/\">Exchange Server Sicherheitsupdates (8. August 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/09\/desaster-exchange-august-2013-sicherheitsupdate-nicht-installieren\/\">Desaster Exchange August 2023-Sicherheitsupdate \u2013 nicht installieren!<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleiner Nachtrag vom August 2023-Patchday, der Administratoren von Microsoft Exchange 2016\/2019-Installationen zur Verzweiflung trieb. Auf nicht englischsprachigen Systemen klappte die Installation nicht und der Exchange-Server war danach teilweise tot. Ich hatte ja zeitnah in meinen Beitr\u00e4gen gewarnt und von Microsoft &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/10\/workaround-fr-exchange-august-2023-sicherheits-update-installationsprobleme\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,426,185],"tags":[5359,8399,4298,4315],"class_list":["post-284819","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-sicherheit","category-update","tag-exchange","tag-patchday-8-2023","tag-problemlosung","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284819"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284819\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}