Exchange Updates

Achtung CVE-2024-21410 Betrachtung

Achtung: Beachten sie die Seite Patchday Jul 2021 und ProxyLogon, Hafnium: Exploit. Sofortiges Handeln erforderlich und danach Hafnium Nachbereitung lesen.

11. April 2023: Exchange 2013 hat End of Support erreicht und bekommen keine Updates mehr.
Exchange 2019 CU11 und früher sind nicht mehr supported
Exchange 2016 muss auf CU23 oder höher sein, um bis Okt 2023 noch Security Updates zu bekommen

Servicepacks sind Pakete zur Aktualisierung von installierter Software. Servicepacks enthalten aktuelleren Code, um bekannte Probleme zu beheben. Manchmal werden durch Servicepacks auch fehlende Funktionen ergänzt oder bestehende Funktionen erweitert. Generell gilt aber:

Servicepacks helfen die Stabilität und die Funktion ihres Systems zu verbessern. Es gibt keine 100% fehlerfreien Programme. Servicepacks beheben bekannte Fehler.
Leider kann das auch bedeuten, dass bei der Installation eines Servicepacks neue Fehler hinzu kommen, die Installation selbst fehlschlägt oder Drittsoftware nicht mehr funktioniert.

Beachten Sie auch die Beschreibungen zu NET-Framework auf Updates und .NET Framework und Exchange und NET Updates

Hier die Links zu den weiterführenden Seiten:

• BSI CSW-Nr 2024-223455-1032
  Tausende Exchange Server sind allein in DE erreichbar und nur 15% sind aktuell gepatcht? Zeit zu handeln!
• Was ist CU RU, SP?
  Einführung in CU, RU, Update, Servicepack
• Updates und .NET Framework
  Abhängigkeiten zu NET-Framework
• Exchange 2016 Update Checkliste
  Auch für Exchange 2013 und 2019 verwendbar.
• Exchange direktes Update
  So kann ich von einem sehr alten CU auf das aktuelle CU in einem Schritt
• Build Nummern
  Exchange und Outlook Versionen im Überblick.
• Exchange Build Nummer ermitteln
  Viele Wege um die Build-Nummer von Exchange zu ermitteln
• Windows
  Bitte nutzen Sie WSUS und Windows Update, um zwischenzeitliche Update und Fixes zu erhalten
• Exchange Server SE Updates
  Server SE und CU1 wurden schon Monate vorher beschrieben
• Exchange 2019
  Updates für die aktuelle Exchange Version 2019
• Exchange 2016
  
• Exchange 2013
• Exchange 2010
  Wichtige neue Funktionen sind z.B. Addressbookpolices
• Exchange 2007 SP2
  Das letzte SP für Exchange 2007
• Exchange2007 SP1
  Was war im SP1 neu. Bitte aktuelles SP installieren
• Exchange 2007
  SP2 erforderlich für Exchange 2010 Installation
• Exchange 2003
  Keine weiteren Updates mehr zu erwarten
• Exchange 2000
  Keine weiteren Updates mehr zu erwarten
• Exchange 5.5
  Keine weiteren Updates mehr zu erwarten
• Extended Protection
  Informationen zur IIS Extended Protection mit SecUpdate Aug 2022
• CVE-2024-21410 Betrachtung
  Ist es wirklich eine kritische Lücke oder viel heiße Luft um Exchange 2019 2024H1 (CU14)?
• Extended Protection mit internen Zertifikaten
  So kann ich Extended Protection mit Reverse Proxy und internen Zertifikaten nutzen
• Ex2016/2019 20.04.2022 Update
  Das 20. April 2022 Exchange Update fixt viel Probleme aber liefert viel mehr Änderungen
• MS11-025 mit Exchange
  Exchange Setup vor Okt 2018 installiert VC2010Runtime mit Lücke
• Fail Jan2019 CVE-2018-8581
  Die Gefahr ist real, zumindest wenn der Angreifer intern sitzt
• CVE-2020-0688
  Feb2020: Authentifizierte Benutzer können Code als "LocalSystem" auf Exchange Server per EWS von extern starten.
• Hafnium: Exploit
  Anfang 2021 gab es den nächsten GAU hinsichtlich Exchange Sicherheit
• Hafnium Nachbereitung
  Was lernen wir aus Hafnium, Quellen zur Analyse, Anpassungen für die Zukunft
• Pwn2Own 2021
  Nach Hafnium ist vor Pwn2Own. Ich erwarte bald weitere Updates für Exchange
• Patchday Jul 2021
  Auch im Juli 2021 gabt es Exchange Security Updates
• ProxyLogon
  Orange Tsai hat auf der DEVCON über die Lücken berichtet. Wer die Jul Updates installiert hat, ist sicher
• Exchange-0-day-Exploit 2022
  Authentifizierte Benutzer können Exchange auch von Extern kapern
• EEMS - Ex Emergency Mitigation Service
  Wie Exchange noch schneller auf Angriffe per HTTP geschützt wird
• Alte OWA-Dateien löschen
  Mit jedem Update sammeln sich 2 GB Altlasten an, die theoretisch fehlerhaften Code enthalten. Aufräumen?
• Exchange Y2K22 Bug
  Die Nummerierung der Antiviren-Patterns seit dem 1.1.2022 bringt den Malware Agent aus dem Tritt

Weitere Links

• Outlook Windows
• Outlook Macintosh
• Exchange Server build numbers and release dates
  https://aka.ms/HC-ExBuilds
  https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates
• Aktuelle Service Packs und Security Rollup Packs auf einen Blick
  http://go.Microsoft.com/?linkid=592392
• Windows Service Pack Road Map
  http://www.Microsoft.com/windows/lifecycle/servicepacks.mspx
• 328839 How to apply Exchange service packs and hotfixes
• Exchange 2016 Active Directory schema changes
  https://technet.microsoft.com/en-us/library/bb738144(v=exchg.160).aspx
• Select your scenario
  https://exupdatestepbystep.azurewebsites.net/
  Nette Webseite, die die Schritte eines Updates generiert.
• Kompromittierte Exchange-Server - Zunahme von Angriffen per Mail
  https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-269486-1032.pdf