Updates für Exchange 2019
Das erste Update für Exchange 2019 war gar kein Servicepack oder CU sondern ein Security Fix. Danach geht es aber überwiegende quartalsweise weiter.
Hinweis
Die Exchange 2019 Updates sind immer "Vollinstallationen".
Exchange 2019 kann nur per Volumenlizenzvertrag gekauft
werden. Lange Zeit war die aktuelle Version daher nur im Volume License Center zu erhalten. Seit Hafnium verteilt Microsoft aber auch CUs als frei zugängliche ISO-Datei.
Schnellanleitung Update-Installation
Damit das Update fehlerfrei durchläuft, sollten Sie folgendes Vorgehen nutzen:
- Prüfen Sie die Zertifikate
Mit dem Nov2023 Update ist das OAUTH-Zertifikat kritisch und hat bei mir das Update mehrfach verhindert . Auch sonst sollten alle Zertifikat gültig sind. - Installieren Sie zuerst Windows Updates ohne Exchange
Updates
Auch wenn Windows Updates die Exchange Updates mit anbietet, sollten Sie das Exchange Update erst später und getrennt installieren - Machen Sie IMMER einen Neustart
Das ist nicht nur aufgrund der Windows Updates vielleicht sowieso erforderlich, sondern startet insbesondere auch den WMI-Dienst neu. Zu oft hat mir diese Dienst das Update blockiert, weil Backup, Monitoring o.ä. noch Sitzungen offen hatten. - Installieren sie das Exchange Update interaktiv als Admin
Bitte nicht über Windows Update installieren, da Sie dann nicht den Fortschritt sehen und ggfls. Rückfragen oder Probleme nicht beantworten können. Sollte mal ein Schema Update dabei sein, dann funktioniert es auch nicht - Starten Sie den Server neu
Meist fordert Exchange das sogar an aber mir ist einfach wohler zu sehen, dass auch nach einem Neustart noch alles funktioniert. - Starten Sie den Healthchecker.ps1
Nutzen Sie das Tool von Microsoft, um die gängigen Fehler einer Server-Installation zu erkennen.
Viel Erfolg bei der Installation des Updates.
Letztes Update
Nachdem im Feb 2024 das CU14 veröffentlicht wurde, erwarten wir für Exchange 2019 im Herbst 2024 noch ein letztes großes "Cumulative Update 15". Weitere kleine Sicherheitsupdates können natürlich bis zum Supportende im Okt 2025 jederzeit noch bereitgestellt werden. Wie es dann danach mit Exchange OnPremises weiter geht, werde ich zu gegebener Zeit hier addieren.
March 2024 SU
Knapp einen Monat nach dem letzten CU für Exchange 2016 und 2019 gibt es ein kleines Sicherheitsupdate für die Exchange Server, die noch im Extended Support Lifecycle sind. Ursächlich ist wohl eine Exchange Lücke, die mit einem CVE-Score von 8.8/7.7 bewertet wurde.
- CVE-2024-26198 Microsoft Exchange Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
Wenn die Beschreibung stimmt, dann muss ein Angreifer aber einem Benutzer eine Datei/DLL unterschieben, die dieser auch aufrufen muss.
An unauthenticated attacker could exploit the vulnerability by placing a
specially crafted file onto an online directory or in a local network location
then convincing the user to open it. In a successful attack, this will then load
a malicious DLL which could lead to a remote code execution.
Quelle:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
Leider ist das nur eine "weichgespülte" Aussage, denn sie beschreibt nicht, wie die DLL dann weiter vorgehen kann. Anscheinend reicht ein "Authenticated User" mit Zugriff auf einen Exchange Server und das muss ja gar nicht der böser rachsüchtige Mitarbeiter sein, sondern in vielen Firmen haben Angreifer schon abgephishte Zugangsdaten und warten nur auf eine passende Lücke. Mit der Veröffentlichung haben die Angreifer nun eine Vergleichsmöglichkeit und es wird wohl nicht lange dauern, bis erste Malware mit dieser Payload erscheint.
Daher sollten Sie, wie immer solche Updates auch zeitnah installieren.
- Twitter: Released: March 2024 Exchange Server Security Updates -
https://twitter.com/MSFTExchange/status/1767712392778076624 - Released: March 2024 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/ba-p/4075348
Exchange Server 2019 CU13
SU5
Exchange Server 2019 CU14
SU1
Exchange Server 2016 CU23
SU12
Allerdings ist dies diesmal nicht ganz problemlos, das es schon zwei bekannte Bugs gibt, die durch das Update mit installiert werden. Hoffen, wir dass, es auch hier bald ein Update zum Update geben wird.
- OwaDeepTestProbe and EacBackEndLogonProbe fail after installing March 2024
SU
https://support.microsoft.com/en-us/topic/owadeeptestprobe-and-eacbackendlogonprobe-fail-after-installing-march-2024-su-653abc81-a6ac-426e-8e6f-75d339989766 - Download domains not working after installing the March 2024 SU
https://support.microsoft.com/en-us/topic/download-domains-not-working-after-installing-the-march-2024-su-1a67ace0-c38c-4da8-a04a-4e4a83f92b79 - Disable Download Domains in your organization The Download Domain feature is
c
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-download-domains?view=exchserver-2019#disable-download-domains-in-your-organization - Neue Sicherheitsupdate für Exchange Server (März 2024)
https://www.frankysweb.de/neue-sicherheitsupdate-fuer-exchange-server-maerz-2024/ - Exchange Server Sicherheits-Updates (12. März 2024)
https://www.borncity.com/blog/2024/03/13/exchange-server-sicherheits-updates-12-mrz-2024/
Feb 2024 Update CU14
Am 13. Feb 2024 hat Microsoft das erste der beiden nach Auslaufen des Mainstream Support versprochene Update bereitgestellt. Das CU14 ist natürlich verspätet und war schon für Ende 2023 erwartet worden. Aber anscheinend gab es keine öffentlichen kritischen Sicherheitsupdates, die Eile geboten hätten. Allerdings wurde zeitgleich mit dem CU14 auch ein CVE-2024-21410 mit einem Score 9.8/9.1 veröffentlicht. Die Beschreibung deutet darauf hin, dass Exchange ohne passende Einstellung nicht ausreichend gegen NTLM-Relay-Attacken abgesichert ist und damit ein fremder Zugriff erfolgen könnte.
"Betroffen" ist laut CVE nur Exchange 2019 CU13/CU4 und Exchange 2016 CU23, wobei dies nur die Versionen sind, für die Microsoft noch Support anbietet.
Gehen sie davon aus, dass natürlich auch ältere Exchange Versionen und CUs betroffen sind. Exchange 2016/2019 sollten Sie daher auf die aktuelle Version anheben.
Die "Lösung" gegen NTLM-Replay ist allerdings kein Fix im Code sondern eine angepasste Konfiguration. Der Schutz ist die aktivierte Extended Protection auf dem Webserver, damit die TLS Verschlüsselung nicht mehr aufgebrochen werden kann. Die Installation des Exchange 2019 CU14 aktiviert per Default Extended Protection und sichert damit auch den CVE-2024-21410 ab. Die Extended Protection-Funktion ist aber auch für Exchange 2016 CU23 mit dem August 2022 Security Update (build 15.01.2507.012) bereitgestellt aber nicht aktiviert worden.
Das es aber kein weiteres Updates für Exchange 2016 gibt, müssen Sie als Administrator dort die Funktion selbst aktivieren.
Das Exchange 2019 CU14 bringt no NET Framework 4.8.1. mit aber die TLS 1.3 Unterstützung hat es auch dieses mal noch nicht in das Update geschafft.
Cumulative Update 14 for Exchange Server 2019 (KB5035606) 5,9GB
https://www.microsoft.com/en-us/download/details.aspx?id=105878.
Natürlich gibt es in dem Updates auch noch jede Menge Fehlerkorrekturen, die hier aufgelistet sind.
Exchange 2019 CU14 Fixes https://support.microsoft.com/en-us/topic/cumulative-update-14-for-exchange-server-2019-kb5035606-5d08ad6d-3527-41c9-82b6-e19d3ddf94db 5035439 BlockModernAuth does not respond in AuthenticationPolicy 5035442 Exchange Mitigation Service does not log incremental updates 5035443 Read receipts are returned if ActiveSyncSuppressReadReceipt is "True" in Exchange Server 2019 5035444 System.argumentnullexception when you try to run an eDiscovery search 5035446 OAB shadow distribution fails if legacy authorization is blocked 5035448 MCDB fails and leads to lagged copy activation 5035450 Exchange 2019 setup installs a outdated JQuery library 5035452 Usernames are not displayed in Event ID 23 and 258 5035453 Issues in Exchange or Teams when you try to delegate information 5035455 MSExchangeIS stops responding and returns "System.NullReferenceExceptions" multiple times per day 5035456 "Deserialization blocked at location HaRpcError" error and Exchange replication stops responding 5035493 FIP-FS Proxy Customizations are disabled after a CU or an SU update 5035494 Modern attachment doesn't work when web proxy is used in Exchange Server 2019 5035495 OWA displays junk operations even if junk mail reporting is disabled 5035497 Edit permissions option in the ECP can't be edited 5035542 Remote equipment and room mailboxes can now be managed through EAC 5035616 Logon events failure after updating Windows Server 5035617 Transport rules aren't applied to multipart or alternative messages 5035689 "High %Time in GC" and EWS doesn't respond
Einige der Fehler sind lästig und es wurde zeit für einen Fix und das man nun auch Remote Equipment und Remote Room Postfächer im ECP verwalten kann, kommt sicher dem ein oder Administrator entgegen, der sich nicht so mit der PowerShell auskennt. Insofern ist die Installation schon anzuraten.
- Extended Protection
- IIS Extended Protection
- CVE-2024-21410 Microsoft Exchange Server
Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410 - Released: 2024 H1 Cumulative Update for
Exchange Server
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-2024-h1-cumulative-update-for-exchange-server/ba-p/4047506 - Configure Windows Extended Protection in Exchange Server
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection - Neues Update für Exchange Server 2019
https://www.frankysweb.de/neues-update-fuer-exchange-server-2019/ - Exchange Server Update CU 14 (13.
Februar 2024
https://www.borncity.com/blog/2024/02/13/exchange-server-sicherheitsupdate-cu-14-13-februar-2024/ - 5035606 Cumulative Update 14 for Exchange Server 2019 (KB5035606)
http://support.microsoft.com/kb/5035606
https://support.microsoft.com/en-us/topic/cumulative-update-14-for-exchange-server-2019-kb5035606-5d08ad6d-3527-41c9-82b6-e19d3ddf94db
- Servicing Exchange Server 2019
https://techcommunity.microsoft.com/t5/exchange-team-blog/servicing-exchange-server-2019/ba-p/3989195 - Coming Soon: Enabling Extended Protection on Exchange Server by Default
https://techcommunity.microsoft.com/t5/exchange-team-blog/coming-soon-enabling-extended-protection-on-exchange-server-by/ba-p/3911849 - Exchange Extended Protection
Eine kleine Besonderheit beschreibt Microsoft auch zu dem Punkt, dass am 9. Jan 2024 der Mainstream-Support von Exchange 2019 eigentlich abgelaufen ist und es nun danach noch zwei CUs geben wird. Microsoft seht hier auf dem Standpunkt, dass nach dem 9. Jan 2024 keine neuen Funktionen mehr vorne in den Prozess eingegeben werden aber schon angefangene Erweiterungen natürlich auch nach dem 9. Jan 2023 noch umgesetzt werden können. Daher sind dann noch zwei CUs nach dem 9. Jan 2024 geplant, die auch noch länger mit Security Updates gefixt werden.
Nov 2023 Security Update
Am 10. Nov 2023 hat Microsoft ein Security Update für Exchange Server 2019 CU12/CU13 und Exchange Server 2016 CU23 released. Offiziell wurden vier Sicherheitslücken geschlossen, die aktuell aktuell noch nicht ausgenutzt werden. Wir können aber davon ausgehen, dass verschiedene Personen schon die Updates untersuchen, um den Angriffsvektor zu finden und auszunutzen. Sie sollten also nicht allzu lange mit der Installation warten.
- KB5032147 Description of the security
update for Microsoft Exchange Server 2016:
November 14, 2023
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2016-november-14-2023-kb5032147-29a93b0b-3506-43c1-87d1-9e83401d1d82 - CVE-2023-36439 - Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36439 - CVE-2023-36050 - Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36050 - CVE-2023-36039 - Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36039 - CVE-2023-36035 - Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36035 - Released: November 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2023-exchange-server-security-updates/ba-p/3980209
Microsoft hat noch einen Fehler im Commandlet "Export-UMPrompt" korrigiert.
- InvalidResponseException when you try to
run Export-UMPrompt
https://support.microsoft.com/en-us/topic/invalidresponseexception-when-you-try-to-run-export-umprompt-943fddcb-1fee-4679-a4cd-a684b3f6bd39
Wichtiger ist aber eine Änderung, die eventuell Powershell-Skripte behindern könnte. Seit Jan 2023 hat Microsoft eine Funktion addiert, um "PowerShell Payload" zu signieren. Wenn ein Admin von einem entfernten PC z.B. ein "Get-Mailbox" macht, dann wir der Befehl nicht auf dem lokalen PC sondern vom Exchange Server ausgeführt. Die Ergebnisse werden aber nicht als "Textstrings" übertragen sondern als Objekte, die dazu "serialisiert" werden müssen.
Zitat: Serialization is the process of
converting the state of an object into a form (stream of
bytes) that can be persisted or transmitted to memory, a
database, or a file. PowerShell, for example, uses
serialization (and its counterpart deserialization) when
passing objects between sessions. To defend Exchange servers
against attacks on serialized data we’ve added
certificate-based signing of PowerShell serialization
payloads in the January 2023 SUs.
Quelle:Released: January 2023 Exchange Server Security
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808
Zur Signierung wird das Exchange Authentication Zertifikat genutzt, welches bei der Installation als SelfSigned-Zertifikat mit 5 Jahre Gültigkeit angelegt wird. Das Zertifikat ist für die gesamte Org, d.h. der erste Exchange Server ist maßgeblich und sie sollten prüfen, wann ihr Zertifikat abläuft und getauscht werden muss. Das geht schnell per PowerShell oder mit einem Microsoft PowerShell Script.
- MonitorExchangeAuthCertificate.ps1
https://aka.ms/MonitorExchangeAuthCertificate
https://microsoft.github.io/CSS-Exchange/Admin/MonitorExchangeAuthCertificate/ - Auth Certificate Availability and
Validity.
https://learn.microsoft.com/Exchange/plan-and-deploy/integration-with-sharepoint-and-skype/maintain-oauth-certificate?view=exchserver-2019
[PS] C:\install\Exchange 2019>Get-ExchangeCertificate |where {$_.subject -eq "CN=Microsoft Exchange Server Auth Certificate"} | fl
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=Microsoft Exchange Server Auth Certificate
NotAfter : 22.11.2024 17:39:45
NotBefore : 22.11.2019 17:39:45
PublicKeySize : 2048
RootCAType : None
SerialNumber : 6223FAB84FC36223FAB84FC3445247AB
Services : SMTP
Status : Valid
Subject : CN=Microsoft Exchange Server Auth Certificate
Thumbprint : 8E6223FA0BB2B544ADBAFB84FC84FC3445247AB3
Diese Funktion war bislang "optional" aber wird mit dem Security Update November 2023 per Default aktiviert! Das System wird also sicherer aber könnte auch RemotePowerShell stören, wenn z.B.: ihr Exchange Auth-Zertifikate abgelaufen ist.
- Exchange OAuth
- PowerShell Serialization
- Configure certificate signing of
PowerShell serialization payloads in
Exchange Server
https://learn.microsoft.com/de-de/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-serialization-payload-sign?view=exchserver-2019#november-2023-su - Certificate signing of PowerShell
serialization payload in Exchange Server
https://support.microsoft.com/en-us/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1
Sie können das Update einfach über "Windows Updates" mit installieren, da es keine Schemaupdates o.ä. ausführt. Ich ziehe es aber dennoch vor, die Updates immer manuell herunter zu laden und interaktiv als Administrator zu installieren. So sehe ich besser den Fortschritt und eventuelle Fehler. Hier die Download Links
Security Update For Exchange Server
2019 CU13 SU4 (KB5032146)
https://www.microsoft.com/en-us/download/details.aspx?id=105713
Security Update For Exchange Server 2019 CU12 SU11
(KB5032146) (163MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105714
Security Update For Exchange Server 2016 CU23 SU11
(KB5032147) (159MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105715
Wenn mal was schief geht, hat Microsoft auch gleich beschrieben, wie Sie die Fehler weiter behandeln.
- Repair failed installations of Exchange
Cumulative and Security updates
https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
Okt 2023 Security Update
Am 10 Okt 2023 hat Microsoft wieder Security Updates für Exchange 2016 und Exchange 2019 veröffentlicht. Exchange 2013 und früher bekommen leider keine Updates mehr und es könnte sein, dass bei diese älteren Versionen die Lücken weiter offen stehen. Etwas unschön ist, dass es wohl wirklich kritische Lücken sind und Microsoft zu einer sofortigen Installation rät
"our recommendation is to immediately install these updates
to protect your environment."
Quelle:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647
- Sicherheitsanfälligkeit in Windows IIS-Server bezüglich
Rechteerweiterungen
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36434
CVSS:3.1 9.8 / 8.5 - Released: October 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647
Zudem korrigiert Microsoft noch zwei Fehler:
- Users in account forest can’t change expired password in OWA
in multi-forest Exchange deployments after installing Aug 2023
https://support.microsoft.com/en-us/topic/users-in-account-forest-can-t-change-expired-password-in-owa-in-multi-forest-exchange-deployments-after-installing-august-2023-su-b17c3579-0233-4d84-9245-755dd1092edb. - Extended Protection causes Outlook for Mac to fail to
download the OAB (we are releasing the new version of the
Extended Protection script)
https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/
Ich rate wie üblich dazu, die Updates nicht über Windows Update automatisch installieren zu lassen, sondern als Administrator herunter zu laden und als Administrator zu starten. Wer mehrere Server und insbesondere DAGs hat, sollte die Server nacheinander aktualisieren und in eine geplante Wartung nehmen, um die Anwender nicht zu stören.
Security Update For Exchange Server 2016 CU23 SU10
(KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105639
15.01.2507.034 159MB
Security Update For Exchange Server 2019 CU13 SU3
(KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105637
15.02.1258.027 163MB
Security Update For Exchange Server 2019 CU12 SU10
(KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105638
15.02.1118.039 163MB
Bitte lesen Sie den Blog-Artikel, wenn Sie mit dem vorherigen Update den Token Cache des IIS deaktiviert haben und nutzen sie den Health Checker nach dem Update, um die generelle Konfiguration auf jedem Server zu prüfen.
- Exchange Server Health Checker script.
https://aka.ms/ExchangeHealthChecker - Update the Exchange Server management tools only role (with
no running Exchange Server) to a newer Cumulative or Security
update
https://learn.microsoft.com/en-us/exchange/manage-hybrid-exchange-recipients-with-management-tools#update-the-exchange-server-management-tools-only-role-with-no-running-exchange-server-to-a-newer-cumulative-or-security-update - Why Exchange Server updates matter
https://techcommunity.microsoft.com/t5/exchange-team-blog/why-exchange-server-updates-matter/ba-p/2280770
August 2023 Security Update v2
Das am 9. Aug veröffentlichte Security Update für Exchange 2019/2016 funktionierte auf nicht englisch installierten Server nicht fehlerfrei und konnte Exchange lahmlegen. Microsoft hat den Fehler recht schnell gemeldet bekommen und manuelle Lösungswege beschrieben. Seit dem 16. Aug gibt es eine aktualisierte Version, die den Fehler nicht mehr hat.
Wichtig: Wenn Sie die
fehlerhafte Version schon installiert haben, dann reicht es nicht die neue
Version einfach drüber zu installieren. Je nach Fehlerbild müssen Sie bestimmte
Schritte vornehmen. Siehe dazu
https://techcommunity.microsoft.com/t5/exchange-team-blog/re-release-of-august-2023-exchange-server-security-update/ba-p/3900025
Die alten Downloadlinks wurden abgeschaltet und die neue Version unter folgenden Links veröffentlicht:
Security Update For Exchange Server 2019 CU13 SU2V2
(KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105534
Security Update For Exchange Server 2019 CU12 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105535
Security Update For Exchange Server 2016 CU23 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105536
August 2023 Security Update
Am 8.8. hat Microsoft auf ihrem Exchange Teams Blog schon das neue Security update für Exchange Server 2019 CU12/CU13 und 2016 CU23 beschrieben. Das war vielleicht etwas früh, denn die Binärdateien wurden erst einige Stunden später bereit gestellt und haben auf nicht englischsprachigen Servern nicht immer funktioniert. Sie müssen ggfls. manuell nacharbeiten, was aber alles gut beschrieben ist.
- Released: August 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811 - KB5029388
http://support.microsoft.com/kb/5029388 - Exchange Server 2019 und 2016 August
2023 bei der Installation des
Sicherheitsupdates tritt bei nicht
englischen Betriebssystemen ein Fehler auf.
https://support.microsoft.com/de-de/topic/exchange-server-2019-und-2016-august-2023-bei-der-installation-des-sicherheitsupdates-tritt-bei-nicht-englischen-betriebssystemen-ein-fehler-auf-ef38d805-f645-4511-8cc5-cf967e5d5c75
Zuerst einmal die Liste der gestopften Lücken aus KB5029388 (http://support.microsoft.com/kb/5029388)
- CVE-2023-21709 | Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Rechteerweiterungen
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709
Manuelle weitere Schritte erforderlich - CVE-2023-38185 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38185 - CVE-2023-35368 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35368 - CVE-2023-38182 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38182 - CVE-2023-35388 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35388 - CVE-2023-38181 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich Spoofing
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38181
Daneben wurden auch ein paar bekannte gewordene Probleme gefixt:
- DST-Einstellungen sind nach einem
Betriebssystemupdate ungenau
https://support.microsoft.com/de-de/topic/dst-einstellungen-sind-nach-einem-betriebssystemupdate-ungenau-ae475129-8a60-40e5-90a4-746e329213f9 - Microsoft Exchange-Replikationsdienst
reagiert wiederholt nicht mehr
https://support.microsoft.com/de-de/topic/microsoft-exchange-replikationsdienst-reagiert-wiederholt-nicht-mehr-76693748-d875-4e56-836d-a9ba76881244 - Chinesisch codierte Zeichen werden im
Exchange Admin Center nicht unterstützt.
https://support.microsoft.com/de-de/topic/chinesische-codierte-zeichen-werden-in-exchange-admin-center-nicht-unterst%C3%BCtzt-33754c22-4f12-4d36-8282-4060215809dc - Im Feld "Externe E-Mail-Adresse" wird
nicht der richtige Benutzernamen angezeigt.
https://support.microsoft.com/de-de/topic/das-feld-externe-e-mail-adresse-zeigt-nicht-den-richtigen-benutzernamen-an-8d52e12c-69d8-4609-9db7-e74ffa2bf1a7
Zudem gibt es eine neue unterstützte Cyphersuite, die aber erst aktiviert werden muss
- Aktivieren der Unterstützung für
AES256-CBC-verschlüsselte Inhalte in
Exchange Server August 2023 SU
https://support.microsoft.com/de-de/topic/aktivieren-der-unterst%C3%BCtzung-f%C3%BCr-aes256-cbc-verschl%C3%BCsselte-inhalte-in-exchange-server-august-2023-su-add63652-ee17-4428-8928-ddc45339f99e
Die Updates gibt es über "Windows Update", den Windows Update Katalog oder als Download
Ich würde immer den Download aus dem Download-Center wählen und das Update manuell und interaktive als Administrator ausführen.
Security Update For Exchange Server
2019 CU13 SU2 (KB5029388) 15.02.1258.023
https://www.microsoft.com/en-us/download/details.aspx?id=105524
Security Update For Exchange Server 2019 CU12 SU9
(KB5029388) 15.02.1118.036
https://www.microsoft.com/en-us/download/details.aspx?id=105525
Security Update For Exchange Server 2016 CU23 SU9
(KB5029388) 15.01.2507.031
https://www.microsoft.com/en-us/download/details.aspx?id=105526
Jun 2023 Security Update
Mit dem Security Update für Exchange 2019 CU12 und CU13 und für Exchange 2016 CU23 vom 13. Jun 2023 stopft Microsoft zwei CVE-Lücken und korrigiert nebenbei noch ein paar Fehler in Exchange.
- CVE-2023-28310 - Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28310 - CVE-2023-32031 - Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32031
Wie immer gibt es das Update nur für die noch supportete Exchange Versionen. Wer nicht das aktuelle cumulative Updates (CU) installiert hat, muss und sollte dies umgehend nachholen und dann die Updates installieren. Eine ausführliche Beschreibung hat Microsoft auf dem Exchange Teams Blog veröffentlicht:
- Released: June 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2023-exchange-server-security-updates/ba-p/3845326 - Description of the security update for Microsoft Exchange
Server 2016: June 13, 2023 (KB5025903)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2016-june-13-2023-kb5025903-856bb13a-940e-42d8-9bc5-ef8f5b880253 - Description of the security update for Microsoft Exchange
Server 2019: June 13, 2023 (KB5026261)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-june-13-2023-kb5026261-c4abbd97-5afe-4229-9ecf-a0b7c0002a5d
Security Update For Exchange Server 2016 CU23 SU8
(KB5025903) 15.1.2507.27
https://www.microsoft.com/en-us/download/details.aspx?id=105282
Security Update For Exchange Server 2019 CU13 SU1
(KB5026261) 15.2.1258.16
https://www.microsoft.com/en-us/download/details.aspx?id=105280
Security Update For Exchange Server 2019 CU12 SU8
(KB5026261) 15.2.1118.30
https://www.microsoft.com/en-us/download/details.aspx?id=105281
Mai 2023 CU13
Nach über einem Jahr nach CU12 (Apr 2022) und vielen Security Updates in der Zwischenzeit gibt es seit dem 3. Mai 2023 nun wieder ein CU13 oder auch 2013H1 Cumulative Update für Exchange 2019. Wie so oft sind die wesentlichen Informationen in einem Blog-Artikel beschrieben. Auf zwei Dinge geht Microsoft explizit als Neuerungen ein.
- Modern Auth
Sie können den On-Premises Server nun auch mit OAUTH2 betreiben, d.h. den Anwender zu einem ADFS-Server umleiten, der dann die Authentifizierung durchführt und ein Token ausfüllt. Der Exchange Server muss dann nicht mehr selbst z.B. Username/Kennwort per BasicAuth annehmen und verifizieren. Das funktioniert nun auch ohne Exchange Online/AzureAD, wo dies als Hybrid Modern Authentication (HMA) schon einige Zeit verfügbar ist. - Configuration Backup/Restore
Früher haben CU-Updates einfach ihre neue Konfiguration und Datei über individuelle Anpassungen z.B. in der "web.config" drübergeschrieben. Der Administrator musste nach dem CU dann wieder alle manuellen Änderungen, z.B. Customizings nachpflegen. Das soll nun zumindest für die meisten Einstellungen gelöst sein. - Sicherheitsupdates
Natürlich sind alle früher schon veröffentlichte SUs ebenfalls in diesem CU mit drin.
Im weiteren Text steht dann noch, dass diesmal auch wieder ein Schemaupdate erforderlich wäre, aber das ist irreführend, denn laut https://learn.microsoft.com/en-us/Exchange/plan-and-deploy/active-directory/ad-schema-changes?view=exchserver-2019 wurde mit CU10 das letzte Mal das Schema erweitert und ich hoffe doch, dass Sie nicht von CU9 oder älter nutzen.
Kumulatives Update 13 für Exchange Server 2019 (KB5020999) (5.8GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=105180
- KB5020999 Cumulative Update 13 for Exchange Server 2019
https://support.microsoft.com/en-au/topic/cumulative-update-13-for-exchange-server-2019-kb5020999-242dab59-0c94-436f-a274-617f082f1a91 - Released: 2023 H1 Cumulative Update for Exchange Server
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-2023-h1-cumulative-update-for-exchange-server/ba-p/3805213 - Exchange Server custom configuration preservation
https://learn.microsoft.com/en-us/Exchange/plan-and-deploy/custom-configuration-preservation?view=exchserver-2019 - Enabling Modern Auth in Exchange On-Premises
https://learn.microsoft.com/en-us/Exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-On-Premises?view=exchserver-2019 - Exchange Server custom configuration preservation
https://learn.microsoft.com/de-de/Exchange/plan-and-deploy/custom-configuration-preservation?view=exchserver-2019 - Active Directory schema changes in Exchange Server
https://learn.microsoft.com/en-us/Exchange/plan-and-deploy/active-directory/ad-schema-changes?view=exchserver-2019 - Exchange Server 2019: CU13 veröffentlicht
https://www.frankysweb.de/exchange-server-2019-cu13-veroeffentlicht/
März 2023 Security Update
Am 14. März 2023 hat Microsoft das nächste Security Update für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 and CU12 veröffentlicht. Es wurde die Sicherheitslücke CVE-2023-21707 und fünf weitere Fehler korrigiert. Das Security Update ist ein Re-release und korrigiert Probleme, die das Feb 2023 Update bei den Webservices eingeführt hatte. Ein Angriff ist nur als authentifizierter Benutzer möglich, was aber sie nicht in Sicherheit wiegen sollte. Bitte installieren Sie die Updates zeitnah und nutzen Sie den Exchange HealthChecker, um die Installation danach zu verifizieren.
- CVE-2023-21707 - Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707 - Released: March 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224 - KB5024296 Description of the security
update for Microsoft Exchange Server 2019,
2016, and 2013: March 14, 2023
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-14-2023-kb5024296-e13b0369-2102-4c95-bee2-456514630727 - You can’t access Toolbox on Exchange
after enabling
EnableSerializationDataSigning
https://support.microsoft.com/en-us/topic/you-can-t-access-toolbox-on-exchange-after-enabling-enableserializationdatasigning-134ad7c6-5223-4f91-93c7-4f506d35b331 - EEMS stops responding after TLS endpoint
certificate update
https://support.microsoft.com/en-us/topic/-eems-stops-responding-after-tls-endpoint-certificate-update-47810987-eb7f-4c6a-9ef8-1c26aa0772a6 - Get-App and GetAppManifests fail and
return an exception
https://support.microsoft.com/en-us/topic/get-app-and-getappmanifests-fail-and-return-an-exception-7fde3780-744c-4ba7-8ef2-d65c893393a2 - EWS does not respond and returns an
exception
https://support.microsoft.com/en-us/topic/ews-does-not-respond-and-returns-an-exception-cf01ce54-6871-44c2-b856-5138fd1b2bb8 - An exception is returned while opening a
template in the Exchange Toolbox
https://support.microsoft.com/en-us/topic/an-exception-is-returned-while-opening-a-template-in-the-exchange-toolbox-71758e21-48f5-486b-a2d0-a47eb5acddfa
Die Downloads finden Sie hier. Beachten Sie, dass Sie das passende CU vorab installiert haben müssen.
2019 CU11 SU11
https://www.microsoft.com/en-us/download/details.aspx?id=105090
2019 CU12 SU7
https://www.microsoft.com/en-us/download/details.aspx?id=105089
2016CU23 SU7
https://www.microsoft.com/en-us/download/details.aspx?id=105091
2013 CU23 SU21
https://www.microsoft.com/en-us/download/details.aspx?id=105092
Feb 2023 Security Update
Die Updates für Exchange im Februar 2023 korrigieren vier CVE-Lücken und einige Bugs, z.B. dass einige Dienste seit dem Jan 2023 SU Updates nicht mehr automatisch starten.
- Released: February 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-february-2023-exchange-server-security-updates/ba-p/3741058 - KB5023038 Description of the security
update for Microsoft Exchange Server 2019,
2016, and 2013: February 14, 2023
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-february-14-2023-kb5023038-2e60d338-dda3-46ed-aed1-4a8bbee87d23
Download
Exchange Server 2019 CU11 SU10 155MB 15.02.0986.041
https://www.microsoft.com/download/details.aspx?familyID=80de331a-fc22-450e-b951-cc3f933897e4
Exchange Server 2019 CU12 SU6 155MB 15.02.1118.025
https://www.microsoft.com/download/details.aspx?familyID=68684ee7-ed06-4819-92d4-33b46eb56093
Security Updates:
- CVE-2023-21707 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707 - CVE-2023-21706 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21706 - CVE-2023-21710 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21710 - CVE-2023-21529 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21529
Bugfixes
- Export-UMPrompt fails with
InvalidResponseException
https://support.microsoft.com/en-us/topic/export-umprompt-fails-with-invalidresponseexception-af9fc20a-cd40-4154-a54c-cf47421e50b6 - Microsoft Exchange Transport service
stops and returns Event ID 17018
https://learn.microsoft.com/en-us/exchange/troubleshoot/mailflow/event-17018-msexchangetransport-service-stop - Some Exchange services do not start
automatically after installing January 2023
Security Update
https://support.microsoft.com/help/5023353 - Data source returns incorrect checkpoint
depth
https://support.microsoft.com/en-us/topic/data-source-returns-incorrect-checkpoint-depth-e08156dd-86d3-4d7a-890f-316c72a06ed9 - Serialization fails while tried
accessing Mailbox Searches in ECP
https://support.microsoft.com/en-us/topic/serialization-fails-when-accessing-mailbox-searches-in-ecp-8098a189-94cc-4160-bad2-8a3eefdff476 - Transport delivery service mishandles
iCAL events
https://support.microsoft.com/en-us/topic/transport-delivery-service-mishandles-ical-events-2e004d6b-18c9-4d9d-b57b-fcaba9b07d3b
Und auch diesmal gibt es wohl wieder ein Problem, was erst durch das Feb 2023 SU dazugekommen ist.
- EWS web application pool stops after the
February 2023 Security Update is installed
https://support.microsoft.com/en-us/topic/ews-web-application-pool-stops-after-the-february-2023-security-update-is-installed-f7ead47c-2303-4132-963e-b66548017340
Weitere Links
- Neue Sicherheitsupdates für Exchange
Server (Februar 2023)
https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-februar-2023/
Januar 2023 Security Updates
Am 10. Januar hat Microsoft per Bog-Artikel ein Sicherheitsupdate für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 und CU12 veröffentlicht.
Achten Sie darauf, dass der Support für Exchange 2013 im April 2023 endet und das Security Update nicht mehr Exchange 2016 CU22 (Sep 21) aktualisiert.
Die Sicherheitslücken werden wohl noch nicht öffentlich ausgenutzt aber sollten dennoch zeitnah durch die Installation abgesichert werden. Weiterhin wurden die ein oder anderen Bugs gefixt und eine zusätzliche Absicherung der Exchange PowerShell eingebaut aber noch nicht per Default aktiviert.
- Released: January 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808 - CVE-2023-21745 - Microsoft Exchange Server Spoofing
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21745 - CVE-2023-21761 - Microsoft Exchange Server Information
Disclosure Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21761 - CVE-2023-21762 - Microsoft Exchange Server Spoofing
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21762 - CVE-2023-21763 - Microsoft Exchange Server Elevation of
Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21763 - CVE-2023-21764 - Microsoft Exchange Server Elevation of
Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21764 - 5022193 Description of the security update for Microsoft
Exchange Server 2019: January 10, 2022 (KB5022193)
https://support.microsoft.com/help/5022193 - 5022143 Description of the security update for Microsoft
Exchange Server 2016: January 10, 2022 (KB5022143)
https://support.microsoft.com/help/5022143 - 5022188 Description of the security update for Microsoft
Exchange Server 2013: January 10, 2022 (KB5022188)
https://support.microsoft.com/help/5022188 - Ex2019Fix: Store Worker Process stops and returns "System.NullReferenceExceptions"
multiple times per day
https://support.microsoft.com/de-de/topic/store-worker-process-stops-and-returns-system-nullreferenceexceptions-multiple-times-per-day-9a874401-3635-497a-9b23-4ad55a328417 - Ex2019/2016/2013New: Certificate signing of PowerShell
serialization payload in Exchange Server
https://support.microsoft.com/de-de/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1 - Ex2016Fix:
Store Worker Process stops and returns "System.NullReferenceExceptions" multiple times per day
https://support.microsoft.com/de-de/topic/store-worker-process-stops-and-returns-system-nullreferenceexceptions-multiple-times-per-day-9a874401-3635-497a-9b23-4ad55a328417 - Ex2016/2013Fix:
Can't record or play in Exchange Unified Messaging
https://support.microsoft.com/help/5022100 - Ex2016Fix:
Exchange
https://support.microsoft.com/de-de/topic/exchange-application-log-is-flooded-with-event-id-6010-8115a084-bb7a-420c-b3ce-8e77332b2705 - Extended Protection enabled in Exchange Server (KB5017260)
https://support.microsoft.com/help/5017260
8. Nov 2022 Exchange Security Updates
Anfang Oktober wurde das erste mal der EEMS-Service genutzt, um eine Lücke temporär zu fixen. Am 8. Nov 2022 gibt es nun ein reguläres Security Update für Exchange 2013CU23, Exchange 2016CU22/CU23 und Exchange 2019CU11/CU12. Laut Beschreibung sichert das Updates die beiden Lücken CVE-2022-41040 und CVE-2022-41082 ab, so dass die Mitigation durch EEMS nicht mehr erforderlich ist.
Achtung: Mittlerweile gibt es einen Exploit, der die Lücke ausnutzt. Bitte umgehend Nov 2022 Security installieren, wenn noch nicht passiert
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
Auch mit dem Nov 2022 Update ist Extended Protection zusätzlich zu konfigurieren. Siehe Kommentar: Lukas Sassl Microsoft Nov 10 2022 12:15 PM "@MicPluton it’s required to enable Extended Protection to address these vulnerabilities. Without Extended Protection turned on, the server is still vulnerable." https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045
-
Released: November 2022 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045 - Security Update Guide
https://msrc.microsoft.com/update-guide/ - CVE-2022-41040
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040 - CVE-2022-41082
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082 - OWASSRF: CrowdStrike Identifies New
Exploit Method for Exchange Bypassing
ProxyNotShell Mitigations
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/ - Jetzt patchen! Attacken auf Exchange
Server im ProxyNotShell-Kontext gesichtet
https://www.heise.de/news/Jetzt-patchen-Attacken-auf-Exchange-Server-im-ProxyNotShell-Kontext-gesichtet-7434860.html
Download
Exchange Server 2013 CU23 (support
Ende in April
2023)
Exchange Server 2016 CU22 and CU23
Exchange Server 2019 CU11 and CU12
11. Okt 2022 Exchange Security Updates
Auch wenn es seit dem 28. Sep 2022 einen aktiven Thread zum Thema Exploits (Siehe Exchange-0-day-Exploit 2022) gibt, der über den EEMS - Exchange Emergency Mitigation Service abgesichert wird, veröffentlichte Microsoft am 11 Oktober ein reguläres Security Update für Exchange 2016 CU22/23 und Exchange 2019 CU11/12 zur Absicherung der folgenden sechs Lücken:
- CVE-2022-21979 - Microsoft Exchange
Information Disclosure Vulnerability (4.8)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21979 - CVE-2022-21980 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(8.0)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21980 - CVE-2022-24477 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(8.0)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24477 - CVE-2022-24516 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(8.0)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24516 - CVE-2022-30134 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(6.5)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30134 - CVE-2022-34692 - Microsoft Exchange
Information Disclosure Vulnerability (5.3)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34692
Das Update ersetzt das vorherige Update vom August 2022. Sie müssen also immer nur das aktuelle CU und dann das passende SU nachinstallieren.
Obwohl die Updates als "Security Update" bezeichnet ist, werden zwei Bugs noch mit korrigiert
- Can't finish the E-discovery process for
an On-Premises mailbox (KB5019807)
https://support.microsoft.com/en-us/topic/can-t-finish-the-e-discovery-process-for-an-On-Premises-mailbox-kb5019807-9c14c5a1-eadc-48e1-897c-dd54599ab904 - E-Discovery search fails in Exchange
Online (KB5019808)
https://support.microsoft.com/en-us/topic/e-discovery-search-fails-in-exchange-online-kb5019808-dadffa27-3094-40fd-82bd-34bde63df903
Laden Sie sich für die aktuell installierte Version das entsprechende Paket herunter (ca. 150MB)
Update für Ex2019CU12 - https://www.microsoft.com/download/details.aspx?familyID=7f879102-4572-41f1-b21a-d223d00cd813
Update für Ex2019CU11 - https://www.microsoft.com/download/details.aspx?familyID=39945af4-067e-4159-9d97-ba54bbbb8a28
Update für Ex2016CU23 - https://www.microsoft.com/download/details.aspx?familyID=3f0110e8-14c8-496a-bc2a-1a1675970eb1
Update für Ex2016CU22 - https://www.microsoft.com/download/details.aspx?familyID=bcd6d182-6e4e-4d95-a54f-bb74071f29d9
- Exchange Team Blog: Released: October
2022 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2022-exchange-server-security-updates/ba-p/3646263 - Description of the security update for
Microsoft Exchange Server 2019 and 2016:
October 11, 2022 (KB5019077)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-october-11-2022-kb5019077-b5ae8793-5e5c-4faa-972d-9228945973e5 - CSS-Exchange HealthChecker
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
9. Aug 2022 Exchange Security Updates
Anfang August 2022 wurden von Microsoft für Exchange 2013 CU23, 2016CU22/CU23 und 2019CU11/CU12 Updates veröffentlicht, um bekannte Sicherheitslöcher zu stopfen. Ältere CU-Stände werden nicht aktualisiert, d.h. sie sind gut beraten ihre Exchange Server auf einen unterstützten CU-Stand zu bringen und dann die Security Updates zu installieren. Wer schon auf der aktuellen Version sind, müssen Sie nach der Installation des Security Updates weder eine Schema-Erweiterung noch den Hybrid Configuration Wizard neu ausführen.
- Released: August 2022 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2022-exchange-server-security-updates/ba-p/3593862 - Description of the security update for
Microsoft Exchange Server 2019 and 2016:
August 9, 2022 (KB5015322)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-august-9-2022-kb5015322-86c06afb-97df-4d8f-af88-818419db8481 - CVE-2022-21979 - Microsoft Exchange
Information Disclosure Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21979 - CVE-2022-21980 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21980 - CVE-2022-24477 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24477 - CVE-2022-24516 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24516 - CVE-2022-30134 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30134 - CVE-2022-34692 - Microsoft Exchange
Information Disclosure Vulnerability (nicht
Ex2013)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34692
Damit einige Schutzfunktionen aber auf Exchange Servern funktionieren, müssen Sie "Extended Protection" manuell aktivieren.
- Extended Protection enabled in Exchange
Server (KB5017260)
https://support.microsoft.com/help/5017260
Nebenbei korrigiert das Update noch zwei Fehler:
- Start-DatabaseAvailabilityGroup fails
with BlockedDeserializeTypeException
(KB5017261)
https://support.microsoft.com/help/5017261 - E-Discovery search fails in Exchange
Online (KB5017430)
https://support.microsoft.com/help/5017430
Mai 2022 Security Update
Für Exchange 2016/2019 gibt es zwar nur noch im Frühjahr und Herbst ein größere Update aber Sicherheitslücken werden weiter monatlich geschlossen. Im Mail 2022 wurden Updates für Exchange 2013/2016/2019 released, welches folgende Lücke absichert:
- CVE-2022-21978 Microsoft Exchange Server
Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21978 - Released: May 2022 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-may-2022-exchange-server-security-updates/ba-p/3301831
Mit einem Rating von 8.2 scheint sie hoch, aber der Angreifer muss schon auf dem Server selbst mit entsprechenden Berechtigungen angemeldet sein, um über die Lücke sich mehr Berechtigungen zu beschaffen. Das Update korrigiert aber noch ein paar andere kleinere Probleme:
- Exchange Service Host service fails after installing March 2022 security update (KB5013118)
- New-DatabaseAvailabilityGroupNetwork and Set-DatabaseAvailabilityGroupNetwork fail with error 0xe0434352 (Update: the -Subnets parameter is still not fixed)
- The UM Voicemail greetings function stops working and returns error 0xe0434352.
- Unable to send mails through EAS and Get-EmailAddressPolicy fails with Microsoft.Exchange.Diagnostics.BlockedDeserializeTypeException after installing Security Update KB5008631 for Exchange 2019
Laut Blog-Artikel müssen Sie nach der Installation manuell ein Schema-Updates durchführen, da ein Security Update generell nicht macht. Details dazu finden Sie im BlogPost von Microsoft.
April 2022 CU12 (22 H1)
Das Exchange 2016/2019 Update am 20. April 2022 beinhaltet nicht nur jede Menge Korrekturen sondern auch strukturelle Änderungen, die ich auf der Seite Ex2016/2019 20. April 2022 Update getrennt beschrieben haben. Hier beschränkte ich mich daher auf die Links zum Download und der Updates. Das Updates ist, wie schon bekannt, immer eine Vollinstallation als gepackte ISO-Datei. Sie können diese sowohl für das Update als auch für die Neuinstallation nutzen. Sie sollten es auch vermeiden, eine alte Version zu installieren und dann nachträglich zu aktualisieren.
KB5011156 Cumulative Update 12 for
Exchange Server 2019 (5,8 GB)
https://www.microsoft.com/en-us/download/details.aspx?id=104131
- Ex2016/2019 20. April 2022 Update
- Cumulative Update 12 for Exchange Server 2019 (KB5011156)
https://support.microsoft.com/en-us/topic/cumulative-update-12-for-exchange-server-2019-kb5011156-6a4e598a-876c-4ff1-9cfa-f7b87246f1d8 - Changes in Exchange Server PowerShell cmdlets and Exchange Admin Center for
UNC path inputs (KB5014278)
https://support.microsoft.com/en-us/topic/changes-in-exchange-server-powershell-cmdlets-and-exchange-admin-center-for-unc-path-inputs-kb5014278-36af1640-4389-4ff1-b805-d1d63715a0dd - Released: 2022 H1 Cumulative Updates for Exchange Server
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-2022-h1-cumulative-updates-for-exchange-server/ba-p/3285026 -
Updates for Exchange Server
https://docs.microsoft.com/en-us/exchange/new-features/updates?view=exchserver-2019
Die Liste der korrigierten Probleme ist diesmal durchaus beachtlich:
- 5012757 "Migration user... can't be found" error when using Start-MigrationUser after batch migration fails
- 5012758 Start-MailboxAssistant is not available in Exchange Server 2019
- 5012760 You can't access OWA or ECP after installing the July 2021 security update
- 5012761 External attendees see “Send the Response Now” although no response was requested in Exchange Server
- 5012762 PST creation is unexpectedly triggered again during multiple mailbox export
- 5012765 Email stuck in queue starting from "2022/1/1 00:01:00 UTC+0" on all Exchange On-Premises servers
- 5012766 Transport Services fail repeatedly because of * Accepted Domain
- 5012768 Start-MigrationUser and Stop-MigrationUser are unavailable for On-Premises Exchange Server 2019 and 2016
- 5012770 No response from public folder for users migrating to Microsoft Exchange 2019
- 5012772 Items are skipped at the start of a new search page request
- 5012773 OWAMailboxPolicy is bypassed and high resolution profile images can be uploaded
- 5012774 Can't change default path for Trace log data in Exchange Server 2019 and 2016
- 5012775 No additional global catalog column in the address book service logs
- 5012776 Exchange Server 2019 help link in OWA redirects users to online help for Exchange Server 2016
- 5012777 Can’t find forwarded messages that contain attachments in Exchange Server 2019
- 5012778 Exchange Server stops responding when processing PDF files with set transport rule
- 5012779 Invalid new auth certificate for servers that are not on UTC time zone
- 5012780 Disable-Mailbox does not remove LegacyExchangeDN attribute from On-Premises Exchange 2019
- 5012781 Exchange Server 2019 and 2016 DLP doesn’t detect Chinese resident ID card numbers
- 5012782 MS ExchangeDiagnostic Service causes errors during service startup and initialization in Microsoft Exchange 2019
- 5012783 Can't restore data of a mailbox when LegacyDN is empty in the database
- 5012784 Exchange 2016 CU21 and Exchange 2019 CU10 cannot save "Custom Attributes" changes in EAC
- 5012785 Read Only Domain Controllers (RODCs) in other domains do not get desired permissions
- 5012786 Forwarded meeting appointments are blocked or considered spam
- 5012787 Download domains created per CVE-2021-1730 don’t support ADFS authentication in OWA
- 5012789 Can't use Copy Search Results after eDiscovery & Hold search
- 5012791 MailboxAuditLog doesn't work in localized (non-English) environments
- 5012829 Group metrics generation fails in multidomain environment
8. Mrz 2022 Sicherheitsupdate
In Exchange 2013, 2016 und 2019 wurden zwei weitere Sicherheitslöcher gefunden und gefixt. Sie haben zwar nicht das Potential von Hafnium aber erlauben, dass authentifizierte Benutzer mehr Rechte erhalten, als sie haben sollten. Da wir nie sicher sein können, dass nicht doch ein Angreifer per Phishing schon im Besitz von gültigen Anmeldedaten sind, sollten Sie die Updates zügig installieren.
Beachten Sie auch immer die Release Notes, denn einige der Fehler haben mich erwischt, z.B. Dienste wurden nicht mehr von disabled auf Autostart gestellt. Bei einer DAG war es der "HostControllerService" für den Suchindex. Denken Sie auch daran, das MSP als Administrator zu starten.
- Released: March 2022 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2022-exchange-server-security-updates/ba-p/3247586 - Description of the security update for
Microsoft Exchange Server 2019 and 2016:
March 8, 2022 (KB5012698)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-march-8-2022-kb5012698-440c5421-dc0e-448f-93ef-4e686c18f7c3 - CVE-2022-23277 | Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23277 - CVE-2022-24463 | Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24463
Security Update For Exchange Server
2019 CU11 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=103998
Security Update For Exchange Server 2019 CU10 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=103997
11. Jan 2022 Sicherheitsupdate
Einen Monat später als erwartet, hat Microsoft am 11. Jan 2022 für Exchange 2013, 2016 und 2019 Sicherheitsupdates veröffentlicht, die allesamt kritische "Remote Code Execution"-Lücken fixen, die aber wohl nicht anonym aus dem Internet ausnutzbar sind. Dennoch sollten Sie zügig agieren, denn Angreifer können schon intern auf solche Lücken warten, um an mehr Berechtigungen zu gelangen.
- CVE-2022-21846 | Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846 - CVE-2022-21855 | Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21855 - CVE-2022-21969 | Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21969
Passend dazu gibt es von Microsoft einen KB-Artikel zu den Updates und einen Blog-Post
- Released: January 2022 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2022-exchange-server-security-updates/ba-p/3050699 - Description of the security update for Microsoft Exchange
Server 2019, 2016, and 2013: January 11, 2022 (KB5008631)
https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-january-11-2022-kb5008631-2ee4d1f3-8341-4a4d-86be-4b73bc944f1b
Auf beiden Artikel sind die Link zu den Downloadquellen enthalten. Das Updates müssen sie nur auf Servern installieren aber nicht auf Systemen, auf denen "nur" die Exchange AdminTools installiert sind. Auch der HCW muss nicht erneut ausgeführt werden. Allerdings "fixen" diese Updates nicht die Probleme des Exchange Y2K22 Bug. Der MalwareScanner kann auch mit den Security Updates weiterhin nichts mit Patternversionen 220101xxxx anfangen.
Es häufen sich Berichte, dass die Securityupdates nach dem Update die Exchange Webdienste (OWA/ECP/EWS) nicht mehr gehen, auf Windows 2012R2 ReFS-Volumes nicht gemountet werden oder DCs durchbooten. Wobei ich die beiden letzten Fälle eher auf die zeitgleich veröffentlichten Windows Updates schieben würde.
9. Nov 2021 Sicherheitsupdate
Am 9. Nov wurde wieder ein Update für Exchange 2016 CU21/22, Exchange 2019 CU10/11 und Exchange 2013 CU23 . Ältere Versionen von Exchange oder Updates-Stände bleiben ungepatched. Sie sollten also zusehen, dass Sie schnellstens auf diesen Level kommen und dann das Update installieren.
Die Lücke wird mit einem CVE-Score von 8.8 bewertet und daher nur "Important" und nicht "critical". Dennoch empfiehlt Microsoft die sofortige Installation.
We are aware of limited targeted attacks in the wild using one of vulnerabilities (CVE-2021-42321), which is a post-authentication vulnerability in Exchange 2016 and 2019. Our recommendation is to install these updates immediately to protect your environment.
Quelle:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169
Die Lücke CVE-2021-42321 kann nur nach erfolgreicher Authentifizierung ausgenutzt werden. Aber wer kann heute schon sicher sein, dass Angreifer nicht schon mit Benutzerdaten warten?
Am 24. Nov wurde ein POC für den Exploit öffentlich. Wer nun noch nicht gepatched hat, ist ein Ziel für Angreifer.
Exploit released for Microsoft Exchange RCE bug, patch now
https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-exchange-rce-bug-patch-now/
- Released: November 2021 Exchange Server Security
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169 - Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 9, 2021 (KB5007409)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-9-2021-kb5007409-7e1f235a-d41b-4a76-bcc4-3db90cd161e7 - CVE-2021-41349 | Microsoft Exchange Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41349 - CVE-2021-42305 | Microsoft Exchange Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42305 - CVE-2021-42321 | Microsoft Exchange Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321 - Security Update Severity Rating System
https://www.microsoft.com/en-us/msrc/security-update-severity-rating-system
Wenn Sie das Update nicht über Windows Updates installieren, dann achten Sie bei der manuellen Installation auf die Ausführung als Administrator.
Download Exchange Server 2019 Cumulative Update 10 Security Update 3 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=1c42658f-9d60-4afb-a6c6-e35594b17d39
Download Exchange Server 2019 Cumulative Update 11 Security Update 2 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=cd28ac6e-eb6f-4747-b9f0-24785b08a012
12. Okt 2021 Sicherheitsupdate
Das vorherige Sicherheitsupdate war grade mal 14 Tage draußen, als Microsoft schon wieder ein Update für die offiziell unterstützen CU-Versionen von Exchange 2013-2019 nachschiebt. Sie sehen schon, dass sie auch beim CU-Stand nicht zu lange zurückliegen sollten.
- Released: October 2021 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2021-exchange-server-security-updates/ba-p/2838287 - 5007012 Hinweise zum Sicherheitsupdate
für Microsoft Exchange Server 2019 und 2016:
12. Oktober 2021 (KB5007012)
https://support.microsoft.com/de-de/topic/hinweise-zum-sicherheitsupdate-f%C3%BCr-microsoft-exchange-server-2019-und-2016-12-oktober-2021-kb5007012-de43d01b-d54f-4b40-91d1-93525a29437c - CVE-2021-26427 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/de-de/vulnerability/CVE-2021-26427 - CVE-2021-34453 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Denial-of-Service
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2021-34453 - CVE-2021-41348 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Rechteerweiterungen
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2021-41348 - CVE-2021-41350 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Spoofing
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2021-41350
Sicherheitsupdate 1 für Exchange
Server 2019 kumulatives Update 11 herunterladen (KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=493ebadc-791f-43fc-b6da-349e9b227ef9
Sicherheitsupdate 2 für Exchange
Server 2019 kumulatives Update 10 herunterladen (KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=5409b101-36fc-4e5c-82bc-d0f6068b2405
Achtung bei der manuellen Installation. Starten Sie die MSP immer als Administrator (UAC beachten), sonst ist die Installation nicht fehlerfrei.
28. Sep 2021 - CU11
Das CU1 Update ist nicht nur ein kleines Bugfix, sondern bringt zwei größere Änderungen mit:
- Diagnosedaten
Microsoft bittet bei der Installation um die Angabe, ob Exchange verschiedene "Diagnosedaten" an Microsoft senden darf. Damit will Microsoft auch in Zukunft vielleicht besser auf Vorfälle wie Hafnium gerüstet sein, indem Sie einen Überblick über die On-Premises-Server im Feld haben.
Sie können die Zustimmung natürlich auch verweigern. - EESM und URLRewrite
Die Installation des CU22 erfordert vorab die Installation des "IIS URLRewrite" Tools. In Verbindung mit dem Dienst EEMS - Exchange Emergency Mitigation Service kann Microsoft damit sehr schnell Angriffe per HTTP auf dem Server blockieren.
Das Modul müssen Sie manuell von https://www.iis.net/downloads/microsoft/url-rewrite herunterladen und vorab installieren. Die Installation kann etwas knifflig sein, da der Download nur ein "Web Platform Installer" ist, der seinerseits dann aus dem Internet das eigentliche Modul nachlädt.
Nach den Vorarbeiten ist die Installation dann wieder wie bei allen anderen CUs davor. Eventuell müssen Sie aber noch die VC Runtime installieren, wenn dies nicht schon durch CU21 oder früher passiert ist.:
Cumulative Update 11 for Exchange
Server 2019 (KB5005334)
https://www.microsoft.com/en-us/download/details.aspx?id=103477
-
Cumulative Update 11 for Exchange Server 2019
(KB5005334)
https://support.microsoft.com/en-us/topic/cumulative-update-11-for-exchange-server-2019-kb5005334-93fc6a41-faa4-424e-9dcb-27081360872b -
Released: September 2021 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-september-2021-quarterly-exchange-updates/ba-p/2779883
Diese Seite sollten Sie immer vorab lesen und auch die Links zu bekannten Problemen - Diagnostic Data collected for Exchange Server
https://aka.ms/ExchangeDiagnosticData
https://docs.microsoft.com/en-us/exchange/diagnostic-data-exchange-server?view=exchserver-2019 - Cannot log in to OWA or ECP after July 2021 SU for Exchange Server 2019, 2016, and 2013 (KB 5005341)
https://support.microsoft.com/en-us/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae
Probleme mit Loadbalancern - Cannot log in to OWA or ECP after July 2021 SU for Exchange Server 2019, 2016, and 2013 (KB 5005341)
https://support.microsoft.com/en-us/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae
Probleme mit dem Exchange Server authorization certificate. - EEMS - Exchange Emergency Mitigation Service
- Neue Exchange Server Updates (September 2021)
https://www.frankysweb.de/neue-exchange-server-updates-september-2021/
13. Jul 21 SecurityUpdate
Siehe dazu die gesonderte Seite Patchday Jul 2021.
- Cannot log in to OWA or ECP after July
2021 SU for Exchange Server 2019, 2016, and
2013 (KB 5005341)
https://support.microsoft.com/en-us/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae
13. Jul 21 SecurityUpdate
Siehe dazu die gesonderte Seite Patchday Jul 2021.
- Cannot log in to OWA or ECP after July
2021 SU for Exchange Server 2019, 2016, and
2013 (KB 5005341)
https://support.microsoft.com/en-us/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae - Exchange 2019 CU10 Broke "Custom
Attributes" in ECP panel
https://docs.microsoft.com/en-us/answers/questions/483772/exchange-2019-cu10-broke-34custom-attributes34-in.html - Benutzerdefinierte Attribute in Exchange
Server
https://docs.microsoft.com/de-de/exchange/recipients/mailbox-custom-attributes?view=exchserver-2019 - Exchange Server 2016-2019: Custom
attributes in ECP no longer updatable after
CU installation (July 2021)
https://borncity.com/win/2021/08/29/exchange-server-2016-2019-benutzerdefinierte-attribute-in-ecp-nach-cu-installation-juli-2021-nicht-mehr-aktualisierbar/
29. Jun 21 CU10
Mit etwas mehr als 14 Tagen Verzögerung, die aber angekündigt waren, hat Microsoft CU Updates für Exchange 2019 und 2016 released. Für Exchange 2013/2010 gibt es keine Updates mehr und kritische Security Updates habe ich in Ex201CU10 und EX2016CU21 nicht gefunden. Allerdings hat Microsoft Exchange befähigt, die AMSI-Schnittstelle für Malware-Erkennungen zu nutzen. Die Schnittstelle ist aber nur mit Windows Server 2016 oder höher verfügbar. Wer also noch Exchange 2016 auf Windows 2012R2 betreibt, kann davon nicht profitieren. Exchange legt damit eingehende HTTP-Request über diese Schnittstelle dem installierten Windows Defender oder einer anderen 3rd Party Lösung vor.
Cumulative Update CU10 for Exchange
Server 2019 (KB5003612)
Server
https://www.microsoft.com/en-us/download/details.aspx?id=103241
-
Cumulative Update 10 for Exchange Server 2019 (KB500361)
https://support.microsoft.com/en-us/topic/cumulative-update-10-for-exchange-server-2019-kb5003612-b1434cad-3fbc-4dc3-844d-82568e8d4344 - Released: June 2021 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2021-quarterly-exchange-updates/ba-p/2459826 - News About the June 2021 Cumulative Update for Exchange Server
https://techcommunity.microsoft.com/t5/exchange-team-blog/news-about-the-june-2021-cumulative-update-for-exchange-server/ba-p/2437578 - Antimalware Scan Interface (AMSI)
https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
16. März 2021 CU 9
Ungeachtet der Hektik um den Hafnium: Exploit hat Microsoft geplant das CU9 für Exchange 2019 released. Es enthält natürlich auch die Updates zum Hafnium: Exploit aber auch einige andere wichtigen Korrekturen.
- Released: March 2021
Quarterly Exchange
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-quarterly-exchange-updates/ba-p/2205283 - Kumulatives Update 9
für Exchange Server 2019
https://support.microsoft.com/de-de/topic/kumulatives-update-9-f%C3%BCr-exchange-server-2019-c8ee8bf0-2f1b-3183-6600-33fb005bc281
Neu ist allerdings, dass der Download nun anonym möglich ist. Bisher konnten nur lizenzierte Firmen die Installationsquellen im Volume License Portal herunterladen.
Cumulative Update 9 for Exchange
Server 2019 (KB4602570)
https://www.microsoft.com/en-us/download/details.aspx?id=102900
- 5001181 Certain search scenario can't return expected result in Outlook online mode in Exchange Server 2019
- 5001182 Can't use keyword "TMM" in a special pattern to search email in Exchange Server 2019
- 5001183 Attachment is treated as bad zip file on Edge Transport server in Exchange Server 2019 and 2016
- 5001184 EAC has no option to select the correct tenant for an Office 365 mailbox in Exchange Server 2019 and 2016
- 5001185 EAC has no option to select an archive domain for cloud-based archive in Exchange Server 2019 and 2016
- 5001186 Encoding of special characters isn't preserved which causes missing text in Outlook in Exchange Server 2019 and 2016
- 5001188 Incorrect MRM properties stamped on mail item delivery when sending to multiple mailboxes on the same database in Exchange Server 2019 and 2016
- 5001189 Mailbox Audit log searches and Outlook both tied to MaxHitsForFullTextIndexSearches in Exchange Server 2019 and 2016
- 5001190 MonitoringGroup can't control the placement of CAS monitoring mailboxes in Exchange Server 2019 and 2016
- 5001192 Microsoft Teams fails to show calendar because Autodiscover v2 isn't site-aware in Exchange Server 2019 and 2016
- 5001193 New health mailboxes for databases are created every time Exchange Health Manager service is restarted
- 5001194 RFC certificate timestamp validation in Exchange Server 2019 and 2016
- 5001195 UPN specified when creating mailbox is overwritten automatically causing login failures in Exchange Server 2019 and 2016
- 5000631 Event IDs 1003, 1309 and 4999 are logged after installing Exchange Server 2019 CU8
- 4583558 PDF preview function in OWA leads to download action unexpectedly
2. März 2021 SecUpdate
Am 2. März hat Microsoft gleich mehrere Exploits in Exchange gemeldet, die auch aktiv ausgenutzt werden und daher die möglichst sofortige Installation der bereitgestellten Updates empfohlen. Microsoft hat die Korrekturen u.a. per Windows Update für Exchange 2010-2019 bereitgestellt. Details finden Sie auf:
- KB5000871 https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
- Released: March 2021 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 - HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ - MSRCBlog
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server - CVE-Links
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412
15. Dez 2020 CU8
Im klassischen Abstand von 3 Monaten wurden auch CU8 bereit gestellt.
- Kumulatives Update 8 für Exchange Server 2019
https://support.microsoft.com/de-de/topic/kumulatives-update-8-f%C3%BCr-exchange-server-2019-fb128187-430a-b219-ea87-92899954998d
13. Okt 2020 CVE-2020-16969 Security Update
Quasi wenige Stunden vor Auslaufen des Exchange 2013 Supports hat Microsoft noch ein Security Update ausgeliefert. Die Schwachstelle betrifft auch Exchange 2016 (Patch gibt es nur für CU17/18) und Exchange 2019 (Patch für CU6/CU7). Für Exchange 2010 und früher gibt es keine Updates mehr aber sie könnten genauso betroffen sein.
- CVE-2020-16969 | Microsoft Exchange Information Disclosure Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16969
Auf der Seite sind auch die DownloadLinks - Exchange Server: Neue Sicherheitsupdates (Oktober 2020)
https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-oktober-2020/amp/ - OCTOBER SECURITY UPDATE FOR EXCHANGE 2013, 2016 AND 2019
https://jaapwesselius.com/tag/cve-2020-16969/
15. Sep 20 CU7
Wie immer gibt es das CU nicht als freien Download sondern nur mit Volume License Portal VLSC oder über myVisualStudio mit dem passenden Abonnement
VLSC
https://www.microsoft.com/Licensing/servicecenter/default.aspx
- Kumulatives Update 7 für Exchange Server
2019
https://support.microsoft.com/de-de/help/4571787/cumulative-update-7-for-exchange-server-2019 - 4570248"Get-CASMailbox" verwendet einen falschen LDAP-Filter für ECPEnabled in Exchange Server 2019
- 4576652Updates für Exchange Server 2019 Sizing Calculator Version 10,5
- 4570252Zeitweilige nicht verarbeitbare Nachrichten aufgrund von NotInBagPropertyErrorException in Exchange Server 2019
- 4576649System. InvalidCastException beim Ändern von Kennwörtern in Outlook im Web in Exchange Server 2019
- 4570251Posteingangsregel beim Anwenden einer persönlichen Kategorie wird RetentionDate in Exchange Server 2019 nicht gestempelt
- 4570245ESEUtil/p schlägt fehl, wenn ein Long-Wert (LV) in Exchange Server 2019 beschädigt ist.
- 4570255NullReferenceException tritt auf, wenn TestFederationTrust in Exchange Server 2019 ausgeführt wird.
- 4576650Beim Festlegen der e-Mail-Weiterleitung in Exchange Server 2019-Hybrid Umgebung kann kein Remotepostfach hinzugefügt werden
- 4570253CompletedWithErrors ohne Details für Post Fach Migrationsbatches in Exchange Server 2019
- 4570247CSV-Protokoll des Ermittlungs Exports schlägt in Exchange Server 2019 nicht ordnungsgemäß Escape-Ziel Pfad Feld vor
- 4570246Edgetransport stürzt mit der Ereignis-ID 1000 (Ausnahmecode 0xc00000fd) in Exchange Server 2019 ab
- 4570254 MSExchangeMapiMailboxAppPool verursacht eine längere CPU-Auslastung von 100% in Exchange Server 2019
- 4563416Der Frei/Gebucht-Status des Online Benutzers kann in Exchange Server 2019 nicht angezeigt werden
- 4576651Nach der Installation von Exchange Server 2019 CU5 können Sie nicht an Teams-Besprechungen von Surface Hub-Geräten teilnehmen
- 4577352Beschreibung des Sicherheitsupdates für Microsoft Exchange Server 2019 und 2016:8. September 2020
- Exchange Server: Neues CU verfügbar
(September 2020)
https://www.frankysweb.de/exchange-server-neues-cu-verfuegbar-september-2020/
8 Sep 2020 SecUpdate CVE-2020-16875
Wenige Tage vor dem CU7 Update hat Microsoft schon mal einen Security Fix für Exchange 2019 CU6 und CU5 released.
Info: Das Update ist in Exchange 2019 CU7 enthalten
- CVE-2020-16875
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875 - Exchange Server: Remote Code Execution-Schwachstelle
CVE-2020-16875
https://www.borncity.com/blog/2020/09/16/exchange-server-remote-code-execution-schwachstelle-cve-2020-16875/ - SRC-2020-0019 : Microsoft Exchange
Server DlpUtils AddTenantDlpPolicy Remote
Code Execution Vulnerability
https://srcincite.io/advisories/src-2020-0019/
16. Jun 2020 CU6
- Released: June 2020 Quarterly Exchange
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2020-quarterly-exchange-updates/ba-p/1458993 - KB4556415 Kumulatives Update 6 für
Exchange Server 2019
https://support.microsoft.com/de-de/help/4556415/cumulative-update-6-for-exchange-server-2019
http://support.microsoft.com/kb/KB4556415
Nur im Volume Portal
17. Mai 2020 CU5
Für Exchange 2019 hat Microsoft im Blog-Artikel nur zwei Bugs aufgeführt
- Metacache
Hier hat das CU4 noch versucht eine ungenutzte SSD auf einem anderen Server zu formatieren. Das wurde mit CU5 gefixt - Suche mit Outlook im "Online Mode"
Nur für Clients, die im Online-Mode waren, waren die Suchergebnisse nicht immer passend.
Wenn Sie aber das Readme lesen, dann finden Sie insgesamt 20 Einträge:
- Cumulative Update 5 for Exchange Server
2019
https://support.microsoft.com/en-us/help/4537677/cumulative-update-5-for-exchange-server-2019
Natürlich enthält das Update auch das Security Update zu CVE-2020-0903 vom Februar. Das CU5 ist hinsichtlich der Schema-Erweiterung mit CU2 identisch.
Das Exchange 2019 CU5 gibt es nur im Volume License Portal
- Released: March 2020 Quarterly Exchange
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2020-quarterly-exchange-updates/ba-p/1231563
11. Feb 2020 Security Update
Zwei Sicherheitslücken haben Microsoft am 11. Feb dazu gebracht für alle Exchange Version 2010 bis 2019 und für verschiedenen CUs/RUs entsprechende Sicherheitsupdates zu veröffentlichen. Die Fehler sind
- CVE-2020-0692 | Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0692
Über eine Lücke in EWS könnte ein Angreifer eine "Impersonation"-Attacke starten und auf Inhalte von anderen Postfächern zugreifen. Exchange 2010 ist aber nicht betroffen - CVE-2020-0688 | Microsoft Exchange
Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0688 - 4536987 Description of the security
update for Microsoft Exchange Server 2019
and 2016: February 11, 2020
https://support.microsoft.com/en-us/help/4536987/security-update-for-exchange-server-2019-and-2016
Beide Lücken wurden am 11. Feb noch nicht öffentlich bekannt und auch nicht ausgenutzt. Sie sind als "1 - Exploitation More Likely" eingestuft. Angreifer werden aber sicher nun die Änderungen im Code analysieren um die Schwachstelle zu finden. Sie sollten daher zeitnah die Updates einspielen. Nutzen Sie den Download für die bei ihnen installierte Version:
Microsoft Exchange Server 2010
Service Pack 3 Update Rollup 30
https://www.microsoft.com/download/details.aspx?familyid=4d072d3e-153e-4a5a-859e-ad054fe24107
Microsoft Exchange Server 2013 Cumulative Update 23
https://www.microsoft.com/download/details.aspx?familyid=ddba43d0-f66d-410d-a421-bb26e45d64b7
Microsoft Exchange Server 2016 Cumulative Update 14
https://www.microsoft.com/download/details.aspx?familyid=5ae7346b-f59c-415d-b576-e50f6b493a23
Microsoft Exchange Server 2016 Cumulative Update 15
https://www.microsoft.com/download/details.aspx?familyid=a4bd9a4e-56f4-42c2-b0d7-fffe52c5dbe5
Microsoft Exchange Server 2019 Cumulative Update 3
https://www.microsoft.com/download/details.aspx?familyid=dec0d147-8b43-4fee-94cb-ed43ed1226ad
Microsoft Exchange Server 2019 Cumulative Update 4
https://www.microsoft.com/download/details.aspx?familyid=6f5e2305-f1dc-4ce9-97c5-4d6fc1b87a24
Es gibt keine Updates für ältere Versionen. Microsoft supportet nur das aktuelle und das vorherige CU.
17. Dez 2019 CU4
Für Exchange 2016 und Exchange 2019 wurde im Dez 2019 noch ein neues CU veröffentlicht. Exchange 2013 geht diesmal leer aus.
Exchange 2019 CU4: Download nur über das Volume Portal
Die Bugliste enthält nur einige kleinere aber doch störenden Probleme.
-
Cumulative Update 4 for Exchange Server 2019
https://support.microsoft.com/en-us/help/4522149/cumulative-update-4-for-exchange-server-2019 - 4528696 Exchange PowerShell cmdlets take longer time to run in Exchange Server 2019
- 4528695 Event ID 4009 when using SubjectOrBodyMatchesPatterns on Edge server in Exchange Server 2019
- 4528694 Can't open .ics file in Outlook on the web in Exchange Server 2019
- 4528692 "A parameter was specified that isn't valid” error when creating transport rule in Exchange Server 2019
- 4523519 Set-SendConnector doesn't work for Exchange Server in hybrid scenarios with Edge Server installed
- 4528688 Only one recipient shows when saving draft by using Exchange ActiveSync version 16.0 in Exchange Server 2019
- 4528693 Get-CalendarDiagnosticLog is proxied for queries within the same forest in Exchange Server 2019
- 4528687 NotificationClient logs aren't purged and consume lots of disk in Exchange Server 2019
- 4528689 Outlook on the web shows MailTip when recipients equal the large audience size in Exchange Server 2019
- 4528690 Can’t move or delete folder in Outlook online mode if the destination has a folder with the same name in Exchange Server 2019
- 4532744 System.ArgumentNullException when you use Set-user to assign block legacy auth policy in Exchange Server 2019
- 4532747 Address list separation not working for a user without a mailbox in Exchange Server 2019
- 4523171 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 12, 2019
12. Nov 2019 Security Update
Am 12. Nov hat Microsoft für alle noch im Support stehenden Exchange Versionen ein Sicherheits-Update veröffentlicht, welches Sie zügig installieren sollten.
- Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 12, 2019
https://support.microsoft.com/en-us/help/4523171/security-update-for-exchange-server-2019-2016-and-2013 - CVE-2019-1373 | Microsoft Exchange Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1373
Ein Angreifer kann aufgrund einer nicht abgesicherten Verarbeitung von per PowerShell übergebenen Daten beliebigen Code unter dem angemeldeten Benutzer ausführen. Allerdings muss der Angreifer dazu per PowerShell auf den Exchange Server zugreifen können, was eigentlich nur für Administratoren aus dem internen Netzwerk möglich sein sollte. Dennoch sollten Sie nicht lange warten. Hier der Download-Link:
Security Update For Exchange Server
2019 CU3 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100481
Security Update For Exchange Server 2019 CU2 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100482
Exchange 2019 CU3 (18. Sep 19)
Quasi auf den Tag genau ein Quartal später folgt CU3 dem CU2. Neben Funktionserweiterungen und Korrekturen möchte ich auf ein mit enthaltenes Security Update hinweisen.
- Description of the security update for
Microsoft Exchange Server 2019 and Exchange
Server 2016: September 10, 2019
https://support.microsoft.com/en-us/help/4515832/security-update-for-exchange-server-2019-and-2016
Alle anderen Updates in hier beschrieben
- Cumulative Update 3 for Exchange Server
2019
https://support.microsoft.com/en-us/help/4514141/cumulative-update-3-for-exchange-server-2019 - 4515257 Hash mismatch is reported for Exchange DLLs in the bin directory of Exchange Server 2019
- 4513500 Can't sign in to OWA or EAC after you install Exchange Server 2019 CU2 with AD FS
- 4502159 Adding or removing mailbox permission in EAC doesn’t address the msExchDelegateListLink attribute in Exchange Server 2019 and 2016
- 4515276 Room mailbox accepts a meeting as “Free” if a booking delegate is set in Exchange Server 2019 and 2016
- 4515275 Enable Get/Restore-RecoverableItems to work with Purges folder in Exchange Server 2019 and 2016
- 4515274 AutodiscoverV2 request returns REST API endpoint not AutoDiscoverV1 endpoint in Exchange Server 2019 and 2016
- 4515269 SentToMemberOf shows every recipient type not distribution groups when you create transport rule in Exchange Server 2019 and 2016
- 4515272 Message is blocked in “SMTP Delivery to Mailbox” queue if exchange server is added in groups of a child domain in Exchange Server 2019 and 2016
- 4515271 Can't convert a migrated remote user mailbox to shared in Exchange Server 2019 and 2016
- 4515270 SubmissionQueueLengthMonitor shows “System.ArgumentException: Transition timeout…” in Exchange Server 2019 and 2016
- 4515267 NDR occurs when you resend message from alternate journaling mailbox to journaling mailbox in Exchange Server 2019 and 2016
- 4515265 Removing In-Place Hold doesn't work for mailboxes in different domains in Exchange Server 2019 and 2016
- 4515264 FindPeople request from Skype for Business on Mac fails with "Invalid Shape Specification" in Exchange Server 2019 and 2016
- 4515263 Hide the "Validate-MailFlowThroughFrontDoor" command for Exchange Server 2019 and 2016
- 4515262 Enable Remove-MobileDevice to delete mobile devices after migrating to Office 365 from Exchange Server 2019 and 2016
- 4515261 Can't copy eDiscovery search results for mailboxes with Exchange online archives in Office 365 in Exchange Server 2019 and 2016
- 4515273 Mailbox auditing fails when using SHA1Managed in Exchange Server 2019 and 2016
- 4515266 Infinite loop in Recurrence.GetNumberOfYearsBetween() with the Japanese calendar in Exchange Server 2019 and 2016
- 4520319 S/MIME signed reply draft behaves like the first message in conversation in Exchange Server 2019 and 2016
- 4515832 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 10, 2019
Exchange 2019 CU2 (18. Jun 19)
Auch wenn Exchange 2019 von Exchange Online abgetrennt wurde, gibt es doch sehr viele Updates und Korrekturen.
- Cumulative Update 2 for Exchange Server
2019
https://support.microsoft.com/en-us/help/4488401/cumulative-update-2-for-exchange-server-2019 - 4502134 Can't get all the emails when searching mailbox by using an end date that's different from today in Exchange Server 2019
- 4502135 Correct the error message that you receive when installing Exchange Server 2019 in an organization that has Exchange Server 2010 installed
- 4502154 Providing information to administrators when auto forward limit is reached in Exchange Server 2019 and 2016
- 4502155 "The primary SMTP address must be specified when referencing a mailbox" error when you use impersonation in Exchange Server 2019 and 2016
- 4502156 Audit logs aren’t updated when "-WhatIf" is used as $false in the command in Exchange Server 2019 and 2016
- 4502157 The Find command not returning the HasAttachments element in Exchange Server 2019 and 2016
- 4502158 SyncFolderItems contains duplicated ReadFlagChange items in Exchange Server 2019 and 2016
- 4502131 "TLS negotiation failed with error UnknownCredentials" error after you update TLSCertificateName on Office 365 send connector in Exchange Server 2019 hybrid environment
- 4502132 Can't reply to old emails after migration even though old legacyExchangeDN is set to migrated mailbox in Exchange Server 2019 and 2016
- 4502136 The response of FETCH (BODYSTRUCTURE) command of IMAP violates RFC 3501 in Exchange Server 2019 and 2016
- 4502140 Can't preview an eDiscovery search when there are multiple domains in Exchange Server 2019 and 2016
- 4502141 Appointment that’s created by responding to an email message doesn’t show in any Outlook calendar views in Exchange Server 2019 and Exchange Server 2016
- 4502133 Can't use Outlook on the web to reply a partner email through mutual TLS in Exchange Server 2019 and 2016
- 4488396 Can't search any results in manually added shared mailbox in Outlook in Exchange Server 2019 and 2016
- 4488078 Public folder contact lists don't show contact's profile picture in Outlook on the web in Exchange Server 2019 and 2016
- 4499503 Heavy organizational forms traffic because of materialized restriction when organization forms library has more than 500 items in Exchange Server 2019 and 2016
- 4503027 Description of the security update for Microsoft Exchange Server 2019 and 2016: June 11, 2019
Exchange 2019 CU1 KB4487563
Mitte April hat Microsoft ein weiteres Security Update für Exchange 2010 bis 2019 veröffentlicht.
- Description of the
security update for
Microsoft Exchange
Server 2019, 2016, and
2013: April 9, 2019
https://support.microsoft.com/en-us/help/4487563/description-of-the-security-update-for-microsoft-exchange-server - CVE-2019-0817:
Microsoft Exchange
Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0817 - CVE-2019-0858:
Microsoft Exchange
Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0858 - Neue
Sicherheitsupdates für
Exchange Server (Alle
Versionen)
https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-alle-versionen/
Security Update
for Exchange Server 2019
CU1
https://www.microsoft.com/de-DE/download/details.aspx?id=58200
RTM
https://www.microsoft.com/de-DE/download/details.aspx?id=58198
Exchange 2019 CU1
Aufgrund einer Lücke in EWS und erweiterten Rechten ist das CU1 sehr zeitnah nachgeliefert worden Siehe dazu die gesonderte Seite.
Achtung: Kein Fix ohne Bug. am 19. Feb
kam nach dem Patchday ein wichtiges Updates raus, welches
Sie auf Windows 2016 installieren sollten
February 19, 2019—KB4487006 (OS Build 14393.2828)
https://support.microsoft.com/en-us/help/4487006/windows-10-update-kb4487006
Es löst ein Problem mit der Anzeige des Addresbuchs und fixt
ein HTTP/2 Problem. Siehe "Define thresholds on the number
of HTTP/2 Settings parameters exchanged over a connection "
https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange
Exchange Security Update Jan 2019
Laut Beschreibung reicht eine entsprechend formatierte Mail, dass Exchange den Code als System User ausführt. Zwar ist der Fehler noch nicht veröffentlich und es gibt am 11.jan auch noch keine Angriffe aber wir können sicher sein, dass die bösen Jungs nun die Änderungen im Patch untersuchen um die Lücke auszunutzen. Betroffen ist Exchange 2016 und 2019 und es gibt nur für die folgenden Versionen ein entsprechendes Update
- Microsoft Exchange Server 2019 RTM
- Microsoft Exchange Server 2016 Cumulative Update 10
- Microsoft Exchange Server 2016 Cumulative Update 11
Spätestens jetzt sollten Sie wirklich erkennen, wie wichtig ein halbwegs aktueller Patchstand ist, um so kleine Security Updates zeitnah installieren zu können.
Security Update For Exchange Server
2016 CU10 (KB4471389
https://www.microsoft.com/en-us/download/details.aspx?id=57757
Security Update For Exchange Server 2016 CU11 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57758
Security Update For Exchange Server 2019 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57756
- Description of the security update for
Microsoft Exchange Server 2019, 2016, and
2013: January 8, 2019
https://support.microsoft.com/en-us/help/4471389/description-of-the-security-update-for-microsoft-exchange-server-2019 - CVE-2019-0586 | Microsoft Exchange
Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0586 - MITRE CVE-2019-0586
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0586 - Sicherheitsupdate für Exchange Server
2016 / 2019 (Januar 2019)
https://www.frankysweb.de/sicherheitsupdate-fuer-exchange-server-2016-2019-januar-2019/
Im Schatten dieses Updates wird noch eine weitere Lücke gestopft, bei der per PowerShell ein Zugriff auf Kalender möglich ist. Dieses Problem betrifft zusätzlich noch
- Microsoft Exchange Server 2013 Cumulative Update 21
- Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 25
Die Beschreibung finden Sie hier
- 4468742 Security Update Information Disclosure Important
- CVE-2019-0588 | Microsoft Exchange
Information Disclosure Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0588
