Updates für Exchange 2019

Das erste Update für Exchange 2019 war gar kein Servicepack oder CU sondern ein Security Fix. Danach geht es aber überwiegende quartalsweise weiter.

Hinweis
Die Exchange 2019 Updates sind immer "Vollinstallationen". Exchange 2019 kann nur per Volumenlizenzvertrag gekauft werden. Lange Zeit war die aktuelle Version daher nur im Volume License Center zu erhalten. Seit Hafnium verteilt Microsoft aber auch CUs als frei zugängliche ISO-Datei.

Schnellanleitung Update-Installation

Damit das Update fehlerfrei durchläuft, sollten Sie folgendes Vorgehen nutzen:

  1. Prüfen Sie die Zertifikate
    Mit dem Nov2023 Update ist das OAUTH-Zertifikat kritisch und hat bei mir das Update mehrfach verhindert . Auch sonst sollten alle Zertifikat gültig sind.
  2. Installieren Sie zuerst Windows Updates ohne Exchange Updates
    Auch wenn Windows Updates die Exchange Updates mit anbietet, sollten Sie das Exchange Update erst später und getrennt installieren
  3. Machen Sie IMMER einen Neustart
    Das ist nicht nur aufgrund der Windows Updates vielleicht sowieso erforderlich, sondern startet insbesondere auch den WMI-Dienst neu. Zu oft hat mir diese Dienst das Update blockiert, weil Backup, Monitoring o.ä. noch Sitzungen offen hatten.
  4. Installieren sie das Exchange Update interaktiv als Admin
    Bitte nicht über Windows Update installieren, da Sie dann nicht den Fortschritt sehen und ggfls. Rückfragen oder Probleme nicht beantworten können. Sollte mal ein Schema Update dabei sein, dann funktioniert es auch nicht
  5. Starten Sie den Server neu
    Meist fordert Exchange das sogar an aber mir ist einfach wohler zu sehen, dass auch nach einem Neustart noch alles funktioniert.
  6. Starten Sie den Healthchecker.ps1
    Nutzen Sie das Tool von Microsoft, um die gängigen Fehler einer Server-Installation zu erkennen.

Viel Erfolg bei der Installation des Updates.

Exchange 2019 CU15

Im Mai 2024 hat Microsoft ein "Roadmap Update" veröffentlicht, welches auf das nächste CU eingeht. Es gab damals schon viele Gerüchte über die nächste Exchange Version und wie die Weiterentwicklung aussieht. Schließlich läuft der Support für Exchange 2016/2019 im Oktober 2025 aus und größere lokale Installationen brauchen schon etwas Vorlauf für Updates und Sicherheit bei der Budgetplanung.

Das Exchange 2019 CU15 wird dahingehend das letzte geplante Update für Exchange 2019 sein und soll noch im Jahr 2024 released werden. Neben noch nicht bekannten Fixes wird es zwei Funktionserweiterungen geben:

  • TLS 1.3 Support
    Das ist löblich, wobei ich mir erst einmal wünschen würde, wenn alle Firmen TLS 1.2 als Mindestversion erzwingen würden.
  • Zertifikatmanagement im ECP
    Über das Exchange Admin Center können Sie per Browser die häufigen Aufgaben beim Zertifikatsmanagement durchführen. Nett aber es hat nun Jahre über die PowerShell funktioniert und ein Administrator, der nicht nach Anleitung ein paar Befehle absetzen kann, sollte kein Exchange Admin sein.

Was in dem Roadmap-Artikel nicht steht aber dann später veröffentlicht wurde, ist die Blockade von Exchange 2013. Exchange 2013 ist schon lange "Out of Support" und während Exchange 2019 CU14 noch eine Koexistenz "geduldet" hat, ist das mit CU15 nicht mehr der Fall. Sie können CU15 erst installieren, wenn der letzte Exchange 2013 Server tatsächlich deinstalliert ist. Das sollten Sie im Hinterkopf behalten, wenn CU15 doch einige kritische Sicherheitslücken fixt. Mit dem Release von CU15 werden auch die Angreifer die Lücken suchen.

Exchange 2019 Admins sollten daher möglichst schnell Exchange 2013 entfernen

Übrigens. Auch Exchange Server SE wird auf der Codebasis von Exchange 2019 CU15 aufsetzen und nur wenig ändern.

April 2024 HU (Hotfix Update)

Wenige Wochen nach dem letzten Größeren CU hat Microsoft für Exchange 2016CU23 und Exchange 2019 CU13/CU14 ein kleines Updates veröffentlicht:

Das Paket enthält keine weiteren Sicherheitsupdates, die nicht auch schon im März 2024 Update enthalten sind. Aber Microsoft korrigiert einige Bugs, die mit dem März 2024 SU noch nicht gefixt oder sogar erst aufgerissen wurden.

Offiziell gibt es noch ein bekanntes Problem, was auch mit dem April HU 2024 noch nicht korrigiert ist:

  • Calendar printing in OWA might not work unless CTRL+P keyboard shortcut is used.

Das kommt dann im einem folgenden Updates.

Obwohl es nur ein "Hotfix Update" ist, bringt das April 2024 HU auch zwei neue Funktionen mit:

  • ECC Zertifikate
    Damit können Sie mit Exchange nun die Zertifikate mit "elliptic curve cryptography" verwenden. Diese stärkere Verschlüsselung/Hash-Funktionen haben einen höheren Schutzlevel und sind in einigen Umgebungen "empfohlen". Lesen Sie aber die Anleitung, denn Primär geht es um HTTP-Zugriffe. Für Edge-Server, ADFS, Federation Trust und OAUT müssen es weiter RSA-Zertifikate sein.
  • Hybrid Modern Auth für OWA/ECP
    Schon länger konnten Sie den Zugriff auf einen OnPremises Exchange Server für ActiveSync und Outlook über AzureAD besser absichern. Mit diesem Updates können Sie nun auch die Anmeldung per OWA und am ECP von Basic/Formbased/NTLM/Kerberos auf OAUTH umstellen und damit z.B. MFA aus Azure verwenden.

Hier die entsprechenden Links

March 2024 SU

Knapp einen Monat nach dem letzten CU für Exchange 2016 und 2019 gibt es ein kleines Sicherheitsupdate für die Exchange Server, die noch im Extended Support Lifecycle sind. Ursächlich ist wohl eine Exchange Lücke, die mit einem CVE-Score von 8.8/7.7 bewertet wurde.

Wenn die Beschreibung stimmt, dann muss ein Angreifer aber einem Benutzer eine Datei/DLL unterschieben, die dieser auch aufrufen muss.

An unauthenticated attacker could exploit the vulnerability by placing a specially crafted file onto an online directory or in a local network location then convincing the user to open it. In a successful attack, this will then load a malicious DLL which could lead to a remote code execution.
Quelle: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198

Leider ist das nur eine "weichgespülte" Aussage, denn sie beschreibt nicht, wie die DLL dann weiter vorgehen kann. Anscheinend reicht ein "Authenticated User" mit Zugriff auf einen Exchange Server und das muss ja gar nicht der böser rachsüchtige Mitarbeiter sein, sondern in vielen Firmen haben Angreifer schon abgephishte Zugangsdaten und warten nur auf eine passende Lücke. Mit der Veröffentlichung haben die Angreifer nun eine Vergleichsmöglichkeit und es wird wohl nicht lange dauern, bis erste Malware mit dieser Payload erscheint.

Daher sollten Sie, wie immer solche Updates auch zeitnah installieren.

Exchange Server 2019 CU13 SU5
Exchange Server 2019 CU14 SU1
Exchange Server 2016 CU23 SU12

Allerdings ist dies diesmal nicht ganz problemlos, das es schon zwei bekannte Bugs gibt, die durch das Update mit installiert werden. Hoffen, wir dass, es auch hier bald ein Update zum Update geben wird.

Feb 2024 Update CU14

Am 13. Feb 2024 hat Microsoft das erste der beiden nach Auslaufen des Mainstream Support versprochene Update bereitgestellt. Das CU14 ist natürlich verspätet und war schon für Ende 2023 erwartet worden. Aber anscheinend gab es keine öffentlichen kritischen Sicherheitsupdates, die Eile geboten hätten. Allerdings wurde zeitgleich mit dem CU14 auch ein CVE-2024-21410 mit einem Score 9.8/9.1 veröffentlicht. Die Beschreibung deutet darauf hin, dass Exchange ohne passende Einstellung nicht ausreichend gegen NTLM-Relay-Attacken abgesichert ist und damit ein fremder Zugriff erfolgen könnte.

"Betroffen" ist laut CVE nur Exchange 2019 CU13/CU4 und Exchange 2016 CU23, wobei dies nur die Versionen sind, für die Microsoft noch Support anbietet.

Gehen sie davon aus, dass natürlich auch ältere Exchange Versionen und CUs betroffen sind. Exchange 2016/2019 sollten Sie daher auf die aktuelle Version anheben.

Die "Lösung" gegen NTLM-Replay ist allerdings kein Fix im Code sondern eine angepasste Konfiguration. Der Schutz ist die aktivierte Extended Protection auf dem Webserver, damit die TLS Verschlüsselung nicht mehr aufgebrochen werden kann. Die Installation des Exchange 2019 CU14 aktiviert per Default Extended Protection und sichert damit auch den CVE-2024-21410 ab. Die Extended Protection-Funktion ist aber auch für Exchange 2016 CU23 mit dem August 2022 Security Update (build 15.01.2507.012) bereitgestellt aber nicht aktiviert worden.

Das es aber kein weiteres Updates für Exchange 2016 gibt, müssen Sie als Administrator dort die Funktion selbst aktivieren.

Das Exchange 2019 CU14 bringt no NET Framework 4.8.1. mit aber die TLS 1.3 Unterstützung hat es auch dieses mal noch nicht in das Update geschafft.

Cumulative Update 14 for Exchange Server 2019 (KB5035606) 5,9GB
https://www.microsoft.com/en-us/download/details.aspx?id=105878.

Natürlich gibt es in dem Updates auch noch jede Menge Fehlerkorrekturen, die hier aufgelistet sind.

Exchange 2019 CU14 Fixes
https://support.microsoft.com/en-us/topic/cumulative-update-14-for-exchange-server-2019-kb5035606-5d08ad6d-3527-41c9-82b6-e19d3ddf94db 
5035439 BlockModernAuth does not respond in AuthenticationPolicy 
5035442 Exchange Mitigation Service does not log incremental updates
5035443 Read receipts are returned if ActiveSyncSuppressReadReceipt is "True" in Exchange Server 2019
5035444 System.argumentnullexception when you try to run an eDiscovery search
5035446 OAB shadow distribution fails if legacy authorization is blocked
5035448 MCDB fails and leads to lagged copy activation
5035450 Exchange 2019 setup installs a outdated JQuery library
5035452 Usernames are not displayed in Event ID 23 and 258 
5035453 Issues in Exchange or Teams when you try to delegate information
5035455 MSExchangeIS stops responding and returns "System.NullReferenceExceptions" multiple times per day
5035456 "Deserialization blocked at location HaRpcError" error and Exchange replication stops responding
5035493 FIP-FS Proxy Customizations are disabled after a CU or an SU update
5035494 Modern attachment doesn't work when web proxy is used in Exchange Server 2019
5035495 OWA displays junk operations even if junk mail reporting is disabled
5035497 Edit permissions option in the ECP can't be edited
5035542 Remote equipment and room mailboxes can now be managed through EAC 
5035616 Logon events failure after updating Windows Server
5035617 Transport rules aren't applied to multipart or alternative messages
5035689 "High %Time in GC" and EWS doesn't respond

Einige der Fehler sind lästig und es wurde zeit für einen Fix und das man nun auch Remote Equipment und Remote Room Postfächer im ECP verwalten kann, kommt sicher dem ein oder Administrator entgegen, der sich nicht so mit der PowerShell auskennt. Insofern ist die Installation schon anzuraten.

Eine kleine Besonderheit beschreibt Microsoft auch zu dem Punkt, dass am 9. Jan 2024 der Mainstream-Support von Exchange 2019 eigentlich abgelaufen ist und es nun danach noch zwei CUs geben wird. Microsoft seht hier auf dem Standpunkt, dass nach dem 9. Jan 2024 keine neuen Funktionen mehr vorne in den Prozess eingegeben werden aber schon angefangene Erweiterungen natürlich auch nach dem 9. Jan 2023 noch umgesetzt werden können. Daher sind dann noch zwei CUs nach dem 9. Jan 2024 geplant, die auch noch länger mit Security Updates gefixt werden.

Nov 2023 Security Update

Am 10. Nov 2023 hat Microsoft ein Security Update für Exchange Server 2019 CU12/CU13 und Exchange Server 2016 CU23 released. Offiziell wurden vier Sicherheitslücken geschlossen, die aktuell aktuell noch nicht ausgenutzt werden. Wir können aber davon ausgehen, dass verschiedene Personen schon die Updates untersuchen, um den Angriffsvektor zu finden und auszunutzen. Sie sollten also nicht allzu lange mit der Installation warten.

Microsoft hat noch einen Fehler im Commandlet "Export-UMPrompt" korrigiert.

Wichtiger ist aber eine Änderung, die eventuell Powershell-Skripte behindern könnte. Seit Jan 2023 hat Microsoft eine Funktion addiert, um "PowerShell Payload" zu signieren. Wenn ein Admin von einem entfernten PC z.B. ein "Get-Mailbox" macht, dann wir der Befehl nicht auf dem lokalen PC sondern vom Exchange Server ausgeführt. Die Ergebnisse werden aber nicht als "Textstrings" übertragen sondern als Objekte, die dazu "serialisiert" werden müssen.

Zitat: Serialization is the process of converting the state of an object into a form (stream of bytes) that can be persisted or transmitted to memory, a database, or a file. PowerShell, for example, uses serialization (and its counterpart deserialization) when passing objects between sessions. To defend Exchange servers against attacks on serialized data we’ve added certificate-based signing of PowerShell serialization payloads in the January 2023 SUs.
Quelle:Released: January 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808 

Zur Signierung wird das Exchange Authentication Zertifikat genutzt, welches bei der Installation als SelfSigned-Zertifikat mit 5 Jahre Gültigkeit angelegt wird. Das Zertifikat ist für die gesamte Org, d.h. der erste Exchange Server ist maßgeblich und sie sollten prüfen, wann ihr Zertifikat abläuft und getauscht werden muss. Das geht schnell per PowerShell oder mit einem Microsoft PowerShell Script.

[PS] C:\install\Exchange 2019>Get-ExchangeCertificate |where {$_.subject -eq "CN=Microsoft Exchange Server Auth Certificate"} | fl

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=Microsoft Exchange Server Auth Certificate
NotAfter           : 22.11.2024 17:39:45
NotBefore          : 22.11.2019 17:39:45
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : 6223FAB84FC36223FAB84FC3445247AB
Services           : SMTP
Status             : Valid
Subject            : CN=Microsoft Exchange Server Auth Certificate
Thumbprint         : 8E6223FA0BB2B544ADBAFB84FC84FC3445247AB3

Diese Funktion war bislang "optional" aber wird mit dem Security Update November 2023 per Default aktiviert! Das System wird also sicherer aber könnte auch RemotePowerShell stören, wenn z.B.: ihr Exchange Auth-Zertifikate abgelaufen ist.

Sie können das Update einfach über "Windows Updates" mit installieren, da es keine Schemaupdates o.ä. ausführt. Ich ziehe es aber dennoch vor, die Updates immer manuell herunter zu laden und interaktiv als Administrator zu installieren. So sehe ich besser den Fortschritt und eventuelle Fehler. Hier die Download Links

Security Update For Exchange Server 2019 CU13 SU4 (KB5032146)
https://www.microsoft.com/en-us/download/details.aspx?id=105713
Security Update For Exchange Server 2019 CU12 SU11 (KB5032146) (163MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105714
Security Update For Exchange Server 2016 CU23 SU11 (KB5032147) (159MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105715

Wenn mal was schief geht, hat Microsoft auch gleich beschrieben, wie Sie die Fehler weiter behandeln.

Okt 2023 Security Update

Am 10 Okt 2023 hat Microsoft wieder Security Updates für Exchange 2016 und Exchange 2019 veröffentlicht. Exchange 2013 und früher bekommen leider keine Updates mehr und es könnte sein, dass bei diese älteren Versionen die Lücken weiter offen stehen. Etwas unschön ist, dass es wohl wirklich kritische Lücken sind und Microsoft zu einer sofortigen Installation rät

"our recommendation is to immediately install these updates to protect your environment."
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647

Zudem korrigiert Microsoft noch zwei Fehler:

Ich rate wie üblich dazu, die Updates nicht über Windows Update automatisch installieren zu lassen, sondern als Administrator herunter zu laden und als Administrator zu starten. Wer mehrere Server und insbesondere DAGs hat, sollte die Server nacheinander aktualisieren und in eine geplante Wartung nehmen, um die Anwender nicht zu stören.

Security Update For Exchange Server 2016 CU23 SU10 (KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105639
15.01.2507.034   159MB

Security Update For Exchange Server 2019 CU13 SU3 (KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105637
15.02.1258.027   163MB

Security Update For Exchange Server 2019 CU12 SU10 (KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105638
15.02.1118.039   163MB

Bitte lesen Sie den Blog-Artikel, wenn Sie mit dem vorherigen Update den Token Cache des IIS deaktiviert haben und nutzen sie den Health Checker nach dem Update, um die generelle Konfiguration auf jedem Server zu prüfen.

August 2023 Security Update v2

Das am 9. Aug veröffentlichte Security Update für Exchange 2019/2016 funktionierte auf nicht englisch installierten Server nicht fehlerfrei und konnte Exchange lahmlegen. Microsoft hat den Fehler recht schnell gemeldet bekommen und manuelle Lösungswege beschrieben. Seit dem 16. Aug gibt es eine aktualisierte Version, die den Fehler nicht mehr hat.

Wichtig: Wenn Sie die fehlerhafte Version schon installiert haben, dann reicht es nicht die neue Version einfach drüber zu installieren. Je nach Fehlerbild müssen Sie bestimmte Schritte vornehmen. Siehe dazu
https://techcommunity.microsoft.com/t5/exchange-team-blog/re-release-of-august-2023-exchange-server-security-update/ba-p/3900025

Die alten Downloadlinks wurden abgeschaltet und die neue Version unter folgenden Links veröffentlicht:

Security Update For Exchange Server 2019 CU13 SU2V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105534
Security Update For Exchange Server 2019 CU12 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105535
Security Update For Exchange Server 2016 CU23 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105536

August 2023 Security Update

Am 8.8. hat Microsoft auf ihrem Exchange Teams Blog schon das neue Security update für Exchange Server 2019 CU12/CU13 und 2016 CU23 beschrieben. Das war vielleicht etwas früh, denn die Binärdateien wurden erst einige Stunden später bereit gestellt und haben auf nicht englischsprachigen Servern nicht immer funktioniert. Sie müssen ggfls. manuell nacharbeiten, was aber alles gut beschrieben ist.

Zuerst einmal die Liste der gestopften Lücken aus KB5029388 (http://support.microsoft.com/kb/5029388)

Daneben wurden auch ein paar bekannte gewordene Probleme gefixt:

Zudem gibt es eine neue unterstützte Cyphersuite, die aber erst aktiviert werden muss

Die Updates gibt es über "Windows Update", den Windows Update Katalog oder als Download

Ich würde immer den Download aus dem Download-Center wählen und das Update manuell und interaktive als Administrator ausführen.

Security Update For Exchange Server 2019 CU13 SU2 (KB5029388) 15.02.1258.023
https://www.microsoft.com/en-us/download/details.aspx?id=105524
Security Update For Exchange Server 2019 CU12 SU9 (KB5029388) 15.02.1118.036
https://www.microsoft.com/en-us/download/details.aspx?id=105525
Security Update For Exchange Server 2016 CU23 SU9 (KB5029388) 15.01.2507.031
https://www.microsoft.com/en-us/download/details.aspx?id=105526

Jun 2023 Security Update

Mit dem Security Update für Exchange 2019 CU12 und CU13 und für Exchange 2016 CU23 vom 13. Jun 2023 stopft Microsoft zwei CVE-Lücken und korrigiert nebenbei noch ein paar Fehler in Exchange.

Wie immer gibt es das Update nur für die noch supportete Exchange Versionen. Wer nicht das aktuelle cumulative Updates (CU) installiert hat, muss und sollte dies umgehend nachholen und dann die Updates installieren. Eine ausführliche Beschreibung hat Microsoft auf dem Exchange Teams Blog veröffentlicht:

Security Update For Exchange Server 2016 CU23 SU8 (KB5025903) 15.1.2507.27
https://www.microsoft.com/en-us/download/details.aspx?id=105282
Security Update For Exchange Server 2019 CU13 SU1 (KB5026261) 15.2.1258.16
https://www.microsoft.com/en-us/download/details.aspx?id=105280
Security Update For Exchange Server 2019 CU12 SU8 (KB5026261) 15.2.1118.30
https://www.microsoft.com/en-us/download/details.aspx?id=105281

Mai 2023 CU13

Nach über einem Jahr nach CU12 (Apr 2022) und vielen Security Updates in der Zwischenzeit gibt es seit dem 3. Mai 2023 nun wieder ein CU13 oder auch 2013H1 Cumulative Update für Exchange 2019. Wie so oft sind die wesentlichen Informationen in einem Blog-Artikel beschrieben. Auf zwei Dinge geht Microsoft explizit als Neuerungen ein.

  • Modern Auth
    Sie können den On-Premises Server nun auch mit OAUTH2 betreiben, d.h. den Anwender zu einem ADFS-Server umleiten, der dann die Authentifizierung durchführt und ein Token ausfüllt. Der Exchange Server muss dann nicht mehr selbst z.B. Username/Kennwort per BasicAuth annehmen und verifizieren. Das funktioniert nun auch ohne Exchange Online/AzureAD, wo dies als Hybrid Modern Authentication (HMA) schon einige Zeit verfügbar ist.
  • Configuration Backup/Restore
    Früher haben CU-Updates einfach ihre neue Konfiguration und Datei über individuelle Anpassungen z.B. in der "web.config" drübergeschrieben. Der Administrator musste nach dem CU dann wieder alle manuellen Änderungen, z.B. Customizings nachpflegen. Das soll nun zumindest für die meisten Einstellungen gelöst sein.
  • Sicherheitsupdates
    Natürlich sind alle früher schon veröffentlichte SUs ebenfalls in diesem CU mit drin.

Im weiteren Text steht dann noch, dass diesmal auch wieder ein Schemaupdate erforderlich wäre, aber das ist irreführend, denn laut https://learn.microsoft.com/en-us/Exchange/plan-and-deploy/active-directory/ad-schema-changes?view=exchserver-2019 wurde mit CU10 das letzte Mal das Schema erweitert und ich hoffe doch, dass Sie nicht von CU9 oder älter nutzen.

Kumulatives Update 13 für Exchange Server 2019 (KB5020999) (5.8GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=105180

März 2023 Security Update

Am 14. März 2023 hat Microsoft das nächste Security Update für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 and CU12 veröffentlicht. Es wurde die Sicherheitslücke CVE-2023-21707 und fünf weitere Fehler korrigiert. Das Security Update ist ein Re-release und korrigiert Probleme, die das Feb 2023 Update bei den Webservices eingeführt hatte. Ein Angriff ist nur als authentifizierter Benutzer möglich, was aber sie nicht in Sicherheit wiegen sollte. Bitte installieren Sie die Updates zeitnah und nutzen Sie den Exchange HealthChecker, um die Installation danach zu verifizieren.

Die Downloads finden Sie hier. Beachten Sie, dass Sie das passende CU vorab installiert haben müssen.

2019 CU11 SU11 https://www.microsoft.com/en-us/download/details.aspx?id=105090
2019 CU12 SU7 https://www.microsoft.com/en-us/download/details.aspx?id=105089
2016CU23 SU7 https://www.microsoft.com/en-us/download/details.aspx?id=105091
2013 CU23 SU21 https://www.microsoft.com/en-us/download/details.aspx?id=105092

Feb 2023 Security Update

Die Updates für Exchange im Februar 2023 korrigieren vier CVE-Lücken und einige Bugs, z.B. dass einige Dienste seit dem Jan 2023 SU Updates nicht mehr automatisch starten.

Download
Exchange Server 2019 CU11 SU10 155MB 15.02.0986.041
https://www.microsoft.com/download/details.aspx?familyID=80de331a-fc22-450e-b951-cc3f933897e4
Exchange Server 2019 CU12 SU6 155MB 15.02.1118.025
https://www.microsoft.com/download/details.aspx?familyID=68684ee7-ed06-4819-92d4-33b46eb56093

Security Updates:

Bugfixes

Und auch diesmal gibt es wohl wieder ein Problem, was erst durch das Feb 2023 SU dazugekommen ist.

Weitere Links

Januar 2023 Security Updates

Am 10. Januar hat Microsoft per Bog-Artikel ein Sicherheitsupdate für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 und CU12 veröffentlicht.

Achten Sie darauf, dass der Support für Exchange 2013 im April 2023 endet und das Security Update nicht mehr Exchange 2016 CU22 (Sep 21) aktualisiert.

Die Sicherheitslücken werden wohl noch nicht öffentlich ausgenutzt aber sollten dennoch zeitnah durch die Installation abgesichert werden. Weiterhin wurden die ein oder anderen Bugs gefixt und eine zusätzliche Absicherung der Exchange PowerShell eingebaut aber noch nicht per Default aktiviert.

8. Nov 2022 Exchange Security Updates

Anfang Oktober wurde das erste mal der EEMS-Service genutzt, um eine Lücke temporär zu fixen. Am 8. Nov 2022 gibt es nun ein reguläres Security Update für Exchange 2013CU23, Exchange 2016CU22/CU23 und Exchange 2019CU11/CU12. Laut Beschreibung sichert das Updates die beiden Lücken CVE-2022-41040 und CVE-2022-41082 ab, so dass die Mitigation durch EEMS nicht mehr erforderlich ist.

Achtung: Mittlerweile gibt es einen Exploit, der die Lücke ausnutzt. Bitte umgehend Nov 2022 Security installieren, wenn noch nicht passiert
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/

Auch mit dem Nov 2022 Update ist Extended Protection zusätzlich zu konfigurieren. Siehe Kommentar: Lukas Sassl Microsoft ‎Nov 10 2022 12:15 PM "@MicPluton it’s required to enable Extended Protection to address these vulnerabilities. Without Extended Protection turned on, the server is still vulnerable." https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045

Download
Exchange Server 2013 CU23 (support Ende in April 2023)
Exchange Server 2016 CU22 and CU23
Exchange Server 2019 CU11 and CU12

11. Okt 2022 Exchange Security Updates

Auch wenn es seit dem 28. Sep 2022 einen aktiven Thread zum Thema Exploits (Siehe Exchange-0-day-Exploit 2022) gibt, der über den EEMS - Exchange Emergency Mitigation Service abgesichert wird, veröffentlichte Microsoft am 11 Oktober ein reguläres Security Update für Exchange 2016 CU22/23 und Exchange 2019 CU11/12 zur Absicherung der folgenden sechs Lücken:

Das Update ersetzt das vorherige Update vom August 2022. Sie müssen also immer nur das aktuelle CU und dann das passende SU nachinstallieren.

Obwohl die Updates als "Security Update" bezeichnet ist, werden zwei Bugs noch mit korrigiert

Laden Sie sich für die aktuell installierte Version das entsprechende Paket herunter (ca. 150MB)

Update für Ex2019CU12 - https://www.microsoft.com/download/details.aspx?familyID=7f879102-4572-41f1-b21a-d223d00cd813
Update für Ex2019CU11 - https://www.microsoft.com/download/details.aspx?familyID=39945af4-067e-4159-9d97-ba54bbbb8a28
Update für Ex2016CU23 - https://www.microsoft.com/download/details.aspx?familyID=3f0110e8-14c8-496a-bc2a-1a1675970eb1
Update für Ex2016CU22 - https://www.microsoft.com/download/details.aspx?familyID=bcd6d182-6e4e-4d95-a54f-bb74071f29d9

9. Aug 2022 Exchange Security Updates

Anfang August 2022 wurden von Microsoft für Exchange 2013 CU23, 2016CU22/CU23 und 2019CU11/CU12 Updates veröffentlicht, um bekannte Sicherheitslöcher zu stopfen. Ältere CU-Stände werden nicht aktualisiert, d.h. sie sind gut beraten ihre Exchange Server auf einen unterstützten CU-Stand zu bringen und dann die Security Updates zu installieren. Wer schon auf der aktuellen Version sind, müssen Sie nach der Installation des Security Updates weder eine Schema-Erweiterung noch den Hybrid Configuration Wizard neu ausführen.

Damit einige Schutzfunktionen aber auf Exchange Servern funktionieren, müssen Sie "Extended Protection" manuell aktivieren.

Nebenbei korrigiert das Update noch zwei Fehler:

  • Start-DatabaseAvailabilityGroup fails with BlockedDeserializeTypeException (KB5017261)
    https://support.microsoft.com/help/5017261
  • E-Discovery search fails in Exchange Online (KB5017430)
    https://support.microsoft.com/help/5017430

Mai 2022 Security Update

Für Exchange 2016/2019 gibt es zwar nur noch im Frühjahr und Herbst ein größere Update aber Sicherheitslücken werden weiter monatlich geschlossen. Im Mail 2022 wurden Updates für Exchange 2013/2016/2019 released, welches folgende Lücke absichert:

Mit einem Rating von 8.2 scheint sie hoch, aber der Angreifer muss schon auf dem Server selbst mit entsprechenden Berechtigungen angemeldet sein, um über die Lücke sich mehr Berechtigungen zu beschaffen. Das Update korrigiert aber noch ein paar andere kleinere Probleme:

  • Exchange Service Host service fails after installing March 2022 security update (KB5013118)
  • New-DatabaseAvailabilityGroupNetwork and Set-DatabaseAvailabilityGroupNetwork fail with error 0xe0434352 (Update: the -Subnets parameter is still not fixed)
  • The UM Voicemail greetings function stops working and returns error 0xe0434352.
  • Unable to send mails through EAS and Get-EmailAddressPolicy fails with Microsoft.Exchange.Diagnostics.BlockedDeserializeTypeException after installing Security Update KB5008631 for Exchange 2019

Laut Blog-Artikel müssen Sie nach der Installation manuell ein Schema-Updates durchführen, da ein Security Update generell nicht macht. Details dazu finden Sie im BlogPost von Microsoft.

April 2022 CU12 (22 H1)

Das Exchange 2016/2019 Update am 20. April 2022 beinhaltet nicht nur jede Menge Korrekturen sondern auch strukturelle Änderungen, die ich auf der Seite Ex2016/2019 20. April 2022 Update getrennt beschrieben haben. Hier beschränkte ich mich daher auf die Links zum Download und der Updates. Das Updates ist, wie schon bekannt, immer eine Vollinstallation als gepackte ISO-Datei. Sie können diese sowohl für das Update als auch für die Neuinstallation nutzen. Sie sollten es auch vermeiden, eine alte Version zu installieren und dann nachträglich zu aktualisieren.

KB5011156 Cumulative Update 12 for Exchange Server 2019 (5,8 GB)
https://www.microsoft.com/en-us/download/details.aspx?id=104131

Die Liste der korrigierten Probleme ist diesmal durchaus beachtlich:

  • 5012757 "Migration user... can't be found" error when using Start-MigrationUser after batch migration fails
  • 5012758 Start-MailboxAssistant is not available in Exchange Server 2019
  • 5012760 You can't access OWA or ECP after installing the July 2021 security update
  • 5012761 External attendees see “Send the Response Now” although no response was requested in Exchange Server
  • 5012762 PST creation is unexpectedly triggered again during multiple mailbox export
  • 5012765 Email stuck in queue starting from "2022/1/1 00:01:00 UTC+0" on all Exchange On-Premises servers
  • 5012766 Transport Services fail repeatedly because of * Accepted Domain
  • 5012768 Start-MigrationUser and Stop-MigrationUser are unavailable for On-Premises Exchange Server 2019 and 2016
  • 5012770 No response from public folder for users migrating to Microsoft Exchange 2019
  • 5012772 Items are skipped at the start of a new search page request
  • 5012773 OWAMailboxPolicy is bypassed and high resolution profile images can be uploaded
  • 5012774 Can't change default path for Trace log data in Exchange Server 2019 and 2016
  • 5012775 No additional global catalog column in the address book service logs
  • 5012776 Exchange Server 2019 help link in OWA redirects users to online help for Exchange Server 2016
  • 5012777 Can’t find forwarded messages that contain attachments in Exchange Server 2019
  • 5012778 Exchange Server stops responding when processing PDF files with set transport rule
  • 5012779 Invalid new auth certificate for servers that are not on UTC time zone
  • 5012780 Disable-Mailbox does not remove LegacyExchangeDN attribute from On-Premises Exchange 2019
  • 5012781 Exchange Server 2019 and 2016 DLP doesn’t detect Chinese resident ID card numbers
  • 5012782 MS ExchangeDiagnostic Service causes errors during service startup and initialization in Microsoft Exchange 2019
  • 5012783 Can't restore data of a mailbox when LegacyDN is empty in the database
  • 5012784 Exchange 2016 CU21 and Exchange 2019 CU10 cannot save "Custom Attributes" changes in EAC
  • 5012785 Read Only Domain Controllers (RODCs) in other domains do not get desired permissions
  • 5012786 Forwarded meeting appointments are blocked or considered spam
  • 5012787 Download domains created per CVE-2021-1730 don’t support ADFS authentication in OWA
  • 5012789 Can't use Copy Search Results after eDiscovery & Hold search
  • 5012791 MailboxAuditLog doesn't work in localized (non-English) environments
  • 5012829 Group metrics generation fails in multidomain environment

8. Mrz 2022 Sicherheitsupdate

In Exchange 2013, 2016 und 2019 wurden zwei weitere Sicherheitslöcher gefunden und gefixt. Sie haben zwar nicht das Potential von Hafnium aber erlauben, dass authentifizierte Benutzer mehr Rechte erhalten, als sie haben sollten. Da wir nie sicher sein können, dass nicht doch ein Angreifer per Phishing schon im Besitz von gültigen Anmeldedaten sind, sollten Sie die Updates zügig installieren.

Beachten Sie auch immer die Release Notes, denn einige der Fehler haben mich erwischt, z.B. Dienste wurden nicht mehr von disabled auf Autostart gestellt. Bei einer DAG war es der "HostControllerService" für den Suchindex. Denken Sie auch daran, das MSP als Administrator zu starten.

Security Update For Exchange Server 2019 CU11 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=103998
Security Update For Exchange Server 2019 CU10 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=103997

11. Jan 2022 Sicherheitsupdate

Einen Monat später als erwartet, hat Microsoft am 11. Jan 2022 für Exchange 2013, 2016 und 2019 Sicherheitsupdates veröffentlicht, die allesamt kritische "Remote Code Execution"-Lücken fixen, die aber wohl nicht anonym aus dem Internet ausnutzbar sind. Dennoch sollten Sie zügig agieren, denn Angreifer können schon intern auf solche Lücken warten, um an mehr Berechtigungen zu gelangen.

Passend dazu gibt es von Microsoft einen KB-Artikel zu den Updates und einen Blog-Post

Auf beiden Artikel sind die Link zu den Downloadquellen enthalten. Das Updates müssen sie nur auf Servern installieren aber nicht auf Systemen, auf denen "nur" die Exchange AdminTools installiert sind. Auch der HCW muss nicht erneut ausgeführt werden. Allerdings "fixen" diese Updates nicht die Probleme des Exchange Y2K22 Bug. Der MalwareScanner kann auch mit den Security Updates weiterhin nichts mit Patternversionen 220101xxxx anfangen.

Es häufen sich Berichte, dass die Securityupdates nach dem Update die Exchange Webdienste (OWA/ECP/EWS) nicht mehr gehen, auf Windows 2012R2 ReFS-Volumes nicht gemountet werden oder DCs durchbooten. Wobei ich die beiden letzten Fälle eher auf die zeitgleich veröffentlichten Windows Updates schieben würde.

9. Nov 2021 Sicherheitsupdate

Am 9. Nov wurde wieder ein Update für Exchange 2016 CU21/22, Exchange 2019 CU10/11 und Exchange 2013 CU23 . Ältere Versionen von Exchange oder Updates-Stände bleiben ungepatched. Sie sollten also zusehen, dass Sie schnellstens auf diesen Level kommen und dann das Update installieren.

Die Lücke wird mit einem CVE-Score von 8.8 bewertet und daher nur "Important" und nicht "critical". Dennoch empfiehlt Microsoft die sofortige Installation.

We are aware of limited targeted attacks in the wild using one of vulnerabilities (CVE-2021-42321), which is a post-authentication vulnerability in Exchange 2016 and 2019. Our recommendation is to install these updates immediately to protect your environment.
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169

Die Lücke CVE-2021-42321 kann nur nach erfolgreicher Authentifizierung ausgenutzt werden. Aber wer kann heute schon sicher sein, dass Angreifer nicht schon mit Benutzerdaten warten?

Am 24. Nov wurde ein POC für den Exploit öffentlich. Wer nun noch nicht gepatched hat, ist ein Ziel für Angreifer.
Exploit released for Microsoft Exchange RCE bug, patch now
https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-exchange-rce-bug-patch-now/

Wenn Sie das Update nicht über Windows Updates installieren, dann achten Sie bei der manuellen Installation auf die Ausführung als Administrator.

Download Exchange Server 2019 Cumulative Update 10 Security Update 3 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=1c42658f-9d60-4afb-a6c6-e35594b17d39
Download Exchange Server 2019 Cumulative Update 11 Security Update 2 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=cd28ac6e-eb6f-4747-b9f0-24785b08a012

12. Okt 2021 Sicherheitsupdate

Das vorherige Sicherheitsupdate war grade mal 14 Tage draußen, als Microsoft schon wieder ein Update für die offiziell unterstützen CU-Versionen von Exchange 2013-2019 nachschiebt. Sie sehen schon, dass sie auch beim CU-Stand nicht zu lange zurückliegen sollten.

Sicherheitsupdate 1 für Exchange Server 2019 kumulatives Update 11 herunterladen (KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=493ebadc-791f-43fc-b6da-349e9b227ef9

Sicherheitsupdate 2 für Exchange Server 2019 kumulatives Update 10 herunterladen (KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=5409b101-36fc-4e5c-82bc-d0f6068b2405

Achtung bei der manuellen Installation. Starten Sie die MSP immer als Administrator (UAC beachten), sonst ist die Installation nicht fehlerfrei.

28. Sep 2021 - CU11

Das CU1 Update ist nicht nur ein kleines Bugfix, sondern bringt zwei größere Änderungen mit:

  • Diagnosedaten
    Microsoft bittet bei der Installation um die Angabe, ob Exchange verschiedene "Diagnosedaten" an Microsoft senden darf. Damit will Microsoft auch in Zukunft vielleicht besser auf Vorfälle wie Hafnium gerüstet sein, indem Sie einen Überblick über die On-Premises-Server im Feld haben.

    Sie können die Zustimmung natürlich auch verweigern.
  • EESM und URLRewrite
    Die Installation des CU22 erfordert vorab die Installation des "IIS URLRewrite" Tools. In Verbindung mit dem Dienst EEMS - Exchange Emergency Mitigation Service kann Microsoft damit sehr schnell Angriffe per HTTP auf dem Server blockieren.

    Das Modul müssen Sie manuell von https://www.iis.net/downloads/microsoft/url-rewrite  herunterladen und vorab installieren. Die Installation kann etwas knifflig sein, da der Download nur ein "Web Platform Installer" ist, der seinerseits dann aus dem Internet das eigentliche Modul nachlädt.

Nach den Vorarbeiten ist die Installation dann wieder wie bei allen anderen CUs davor. Eventuell müssen Sie aber noch die VC Runtime installieren, wenn dies nicht schon durch CU21 oder früher passiert ist.:

Cumulative Update 11 for Exchange Server 2019 (KB5005334)
https://www.microsoft.com/en-us/download/details.aspx?id=103477

13. Jul 21 SecurityUpdate

Siehe dazu die gesonderte Seite Patchday Jul 2021.

13. Jul 21 SecurityUpdate

Siehe dazu die gesonderte Seite Patchday Jul 2021.

29. Jun 21 CU10

Mit etwas mehr als 14 Tagen Verzögerung, die aber angekündigt waren, hat Microsoft CU Updates für Exchange 2019 und 2016 released. Für Exchange 2013/2010 gibt es keine Updates mehr und kritische Security Updates habe ich in Ex201CU10 und EX2016CU21 nicht gefunden. Allerdings hat Microsoft Exchange befähigt, die AMSI-Schnittstelle für Malware-Erkennungen zu nutzen. Die Schnittstelle ist aber nur mit Windows Server 2016 oder höher verfügbar. Wer also noch Exchange 2016 auf Windows 2012R2 betreibt, kann davon nicht profitieren. Exchange legt damit eingehende HTTP-Request über diese Schnittstelle dem installierten Windows Defender oder einer anderen 3rd Party Lösung vor.

Cumulative Update CU10 for Exchange Server 2019 (KB5003612)
Server https://www.microsoft.com/en-us/download/details.aspx?id=103241

16. März 2021 CU 9

Ungeachtet der Hektik um den Hafnium: Exploit hat Microsoft geplant das CU9 für Exchange 2019 released. Es enthält natürlich auch die Updates zum Hafnium: Exploit aber auch einige andere wichtigen Korrekturen.

Neu ist allerdings, dass der Download nun anonym möglich ist. Bisher konnten nur lizenzierte Firmen die Installationsquellen im Volume License Portal herunterladen.

Cumulative Update 9 for Exchange Server 2019 (KB4602570)
https://www.microsoft.com/en-us/download/details.aspx?id=102900

  • 5001181 Certain search scenario can't return expected result in Outlook online mode in Exchange Server 2019
  • 5001182 Can't use keyword "TMM" in a special pattern to search email in Exchange Server 2019
  • 5001183 Attachment is treated as bad zip file on Edge Transport server in Exchange Server 2019 and 2016
  • 5001184 EAC has no option to select the correct tenant for an Office 365 mailbox in Exchange Server 2019 and 2016
  • 5001185 EAC has no option to select an archive domain for cloud-based archive in Exchange Server 2019 and 2016
  • 5001186 Encoding of special characters isn't preserved which causes missing text in Outlook in Exchange Server 2019 and 2016
  • 5001188 Incorrect MRM properties stamped on mail item delivery when sending to multiple mailboxes on the same database in Exchange Server 2019 and 2016
  • 5001189 Mailbox Audit log searches and Outlook both tied to MaxHitsForFullTextIndexSearches in Exchange Server 2019 and 2016
  • 5001190 MonitoringGroup can't control the placement of CAS monitoring mailboxes in Exchange Server 2019 and 2016
  • 5001192 Microsoft Teams fails to show calendar because Autodiscover v2 isn't site-aware in Exchange Server 2019 and 2016
  • 5001193 New health mailboxes for databases are created every time Exchange Health Manager service is restarted
  • 5001194 RFC certificate timestamp validation in Exchange Server 2019 and 2016
  • 5001195 UPN specified when creating mailbox is overwritten automatically causing login failures in Exchange Server 2019 and 2016
  • 5000631 Event IDs 1003, 1309 and 4999 are logged after installing Exchange Server 2019 CU8
  • 4583558 PDF preview function in OWA leads to download action unexpectedly

2. März 2021 SecUpdate

Am 2. März hat Microsoft gleich mehrere Exploits in Exchange gemeldet, die auch aktiv ausgenutzt werden und daher die möglichst sofortige Installation der bereitgestellten Updates empfohlen. Microsoft hat die Korrekturen u.a. per Windows Update für Exchange 2010-2019 bereitgestellt. Details finden Sie auf:

15. Dez 2020 CU8

Im klassischen Abstand von 3 Monaten wurden auch CU8 bereit gestellt.

13. Okt 2020 CVE-2020-16969 Security Update

Quasi wenige Stunden vor Auslaufen des Exchange 2013 Supports hat Microsoft noch ein Security Update ausgeliefert. Die Schwachstelle betrifft auch Exchange 2016 (Patch gibt es nur für CU17/18) und Exchange 2019 (Patch für CU6/CU7). Für Exchange 2010 und früher gibt es keine Updates mehr aber sie könnten genauso betroffen sein.

15. Sep 20 CU7

Wie immer gibt es das CU nicht als freien Download sondern nur mit Volume License Portal VLSC oder über myVisualStudio mit dem passenden Abonnement

VLSC
https://www.microsoft.com/Licensing/servicecenter/default.aspx

  • Kumulatives Update 7 für Exchange Server 2019
    https://support.microsoft.com/de-de/help/4571787/cumulative-update-7-for-exchange-server-2019
  • 4570248"Get-CASMailbox" verwendet einen falschen LDAP-Filter für ECPEnabled in Exchange Server 2019
  • 4576652Updates für Exchange Server 2019 Sizing Calculator Version 10,5
  • 4570252Zeitweilige nicht verarbeitbare Nachrichten aufgrund von NotInBagPropertyErrorException in Exchange Server 2019
  • 4576649System. InvalidCastException beim Ändern von Kennwörtern in Outlook im Web in Exchange Server 2019
  • 4570251Posteingangsregel beim Anwenden einer persönlichen Kategorie wird RetentionDate in Exchange Server 2019 nicht gestempelt
  • 4570245ESEUtil/p schlägt fehl, wenn ein Long-Wert (LV) in Exchange Server 2019 beschädigt ist.
  • 4570255NullReferenceException tritt auf, wenn TestFederationTrust in Exchange Server 2019 ausgeführt wird.
  • 4576650Beim Festlegen der e-Mail-Weiterleitung in Exchange Server 2019-Hybrid Umgebung kann kein Remotepostfach hinzugefügt werden
  • 4570253CompletedWithErrors ohne Details für Post Fach Migrationsbatches in Exchange Server 2019
  • 4570247CSV-Protokoll des Ermittlungs Exports schlägt in Exchange Server 2019 nicht ordnungsgemäß Escape-Ziel Pfad Feld vor
  • 4570246Edgetransport stürzt mit der Ereignis-ID 1000 (Ausnahmecode 0xc00000fd) in Exchange Server 2019 ab
  • 4570254 MSExchangeMapiMailboxAppPool verursacht eine längere CPU-Auslastung von 100% in Exchange Server 2019
  • 4563416Der Frei/Gebucht-Status des Online Benutzers kann in Exchange Server 2019 nicht angezeigt werden
  • 4576651Nach der Installation von Exchange Server 2019 CU5 können Sie nicht an Teams-Besprechungen von Surface Hub-Geräten teilnehmen
  • 4577352Beschreibung des Sicherheitsupdates für Microsoft Exchange Server 2019 und 2016:8. September 2020
  • Exchange Server: Neues CU verfügbar (September 2020)
    https://www.frankysweb.de/exchange-server-neues-cu-verfuegbar-september-2020/

8 Sep 2020 SecUpdate CVE-2020-16875

Wenige Tage vor dem CU7 Update hat Microsoft schon mal einen Security Fix für Exchange 2019 CU6 und CU5 released.

Info: Das Update ist in Exchange 2019 CU7 enthalten

16. Jun 2020 CU6

Nur im Volume Portal

17. Mai 2020 CU5

Für Exchange 2019 hat Microsoft im Blog-Artikel nur zwei Bugs aufgeführt

  • Metacache
    Hier hat das CU4 noch versucht eine ungenutzte SSD auf einem anderen Server zu formatieren. Das wurde mit CU5 gefixt
  • Suche mit Outlook im "Online Mode"
    Nur für Clients, die im Online-Mode waren, waren die Suchergebnisse nicht immer passend.

Wenn Sie aber das Readme lesen, dann finden Sie insgesamt 20 Einträge:

Natürlich enthält das Update auch das Security Update zu CVE-2020-0903 vom Februar. Das CU5 ist hinsichtlich der Schema-Erweiterung mit CU2 identisch.

Das Exchange 2019 CU5 gibt es nur im Volume License Portal

11. Feb 2020 Security Update

Zwei Sicherheitslücken haben Microsoft am 11. Feb dazu gebracht für alle Exchange Version 2010 bis 2019 und für verschiedenen CUs/RUs entsprechende Sicherheitsupdates zu veröffentlichen. Die Fehler sind

Beide Lücken wurden am 11. Feb noch nicht öffentlich bekannt und auch nicht ausgenutzt. Sie sind als "1 - Exploitation More Likely" eingestuft. Angreifer werden aber sicher nun die Änderungen im Code analysieren um die Schwachstelle zu finden. Sie sollten daher zeitnah die Updates einspielen. Nutzen Sie den Download für die bei ihnen installierte Version:

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
https://www.microsoft.com/download/details.aspx?familyid=4d072d3e-153e-4a5a-859e-ad054fe24107
Microsoft Exchange Server 2013 Cumulative Update 23
https://www.microsoft.com/download/details.aspx?familyid=ddba43d0-f66d-410d-a421-bb26e45d64b7
Microsoft Exchange Server 2016 Cumulative Update 14
https://www.microsoft.com/download/details.aspx?familyid=5ae7346b-f59c-415d-b576-e50f6b493a23
Microsoft Exchange Server 2016 Cumulative Update 15
https://www.microsoft.com/download/details.aspx?familyid=a4bd9a4e-56f4-42c2-b0d7-fffe52c5dbe5
Microsoft Exchange Server 2019 Cumulative Update 3
https://www.microsoft.com/download/details.aspx?familyid=dec0d147-8b43-4fee-94cb-ed43ed1226ad
Microsoft Exchange Server 2019 Cumulative Update 4
https://www.microsoft.com/download/details.aspx?familyid=6f5e2305-f1dc-4ce9-97c5-4d6fc1b87a24

Es gibt keine Updates für ältere Versionen. Microsoft supportet nur das aktuelle und das vorherige CU.

17. Dez 2019 CU4

Für Exchange 2016 und Exchange 2019 wurde im Dez 2019 noch ein neues CU veröffentlicht. Exchange 2013 geht diesmal leer aus.

Exchange 2019 CU4: Download nur über das Volume Portal

Die Bugliste enthält nur einige kleinere aber doch störenden Probleme.

  • Cumulative Update 4 for Exchange Server 2019
    https://support.microsoft.com/en-us/help/4522149/cumulative-update-4-for-exchange-server-2019
  • 4528696 Exchange PowerShell cmdlets take longer time to run in Exchange Server 2019
  • 4528695 Event ID 4009 when using SubjectOrBodyMatchesPatterns on Edge server in Exchange Server 2019
  • 4528694 Can't open .ics file in Outlook on the web in Exchange Server 2019
  • 4528692 "A parameter was specified that isn't valid” error when creating transport rule in Exchange Server 2019
  • 4523519 Set-SendConnector doesn't work for Exchange Server in hybrid scenarios with Edge Server installed
  • 4528688 Only one recipient shows when saving draft by using Exchange ActiveSync version 16.0 in Exchange Server 2019
  • 4528693 Get-CalendarDiagnosticLog is proxied for queries within the same forest in Exchange Server 2019
  • 4528687 NotificationClient logs aren't purged and consume lots of disk in Exchange Server 2019
  • 4528689 Outlook on the web shows MailTip when recipients equal the large audience size in Exchange Server 2019
  • 4528690 Can’t move or delete folder in Outlook online mode if the destination has a folder with the same name in Exchange Server 2019
  • 4532744 System.ArgumentNullException when you use Set-user to assign block legacy auth policy in Exchange Server 2019
  • 4532747 Address list separation not working for a user without a mailbox in Exchange Server 2019
  • 4523171 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 12, 2019

12. Nov 2019 Security Update

Am 12. Nov hat Microsoft für alle noch im Support stehenden Exchange Versionen ein Sicherheits-Update veröffentlicht, welches Sie zügig installieren sollten.

Ein Angreifer kann aufgrund einer nicht abgesicherten Verarbeitung von per PowerShell übergebenen Daten beliebigen Code unter dem angemeldeten Benutzer ausführen. Allerdings muss der Angreifer dazu per PowerShell auf den Exchange Server zugreifen können, was eigentlich nur für Administratoren aus dem internen Netzwerk möglich sein sollte. Dennoch sollten Sie nicht lange warten. Hier der Download-Link:

Security Update For Exchange Server 2019 CU3 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100481
Security Update For Exchange Server 2019 CU2 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100482

Exchange 2019 CU3 (18. Sep 19)

Quasi auf den Tag genau ein Quartal später folgt CU3 dem CU2. Neben Funktionserweiterungen und Korrekturen möchte ich auf ein mit enthaltenes Security Update hinweisen.

Alle anderen Updates in hier beschrieben

  • Cumulative Update 3 for Exchange Server 2019
    https://support.microsoft.com/en-us/help/4514141/cumulative-update-3-for-exchange-server-2019
  • 4515257 Hash mismatch is reported for Exchange DLLs in the bin directory of Exchange Server 2019
  • 4513500 Can't sign in to OWA or EAC after you install Exchange Server 2019 CU2 with AD FS
  • 4502159 Adding or removing mailbox permission in EAC doesn’t address the msExchDelegateListLink attribute in Exchange Server 2019 and 2016
  • 4515276 Room mailbox accepts a meeting as “Free” if a booking delegate is set in Exchange Server 2019 and 2016
  • 4515275 Enable Get/Restore-RecoverableItems to work with Purges folder in Exchange Server 2019 and 2016
  • 4515274 AutodiscoverV2 request returns REST API endpoint not AutoDiscoverV1 endpoint in Exchange Server 2019 and 2016
  • 4515269 SentToMemberOf shows every recipient type not distribution groups when you create transport rule in Exchange Server 2019 and 2016
  • 4515272 Message is blocked in “SMTP Delivery to Mailbox” queue if exchange server is added in groups of a child domain in Exchange Server 2019 and 2016
  • 4515271 Can't convert a migrated remote user mailbox to shared in Exchange Server 2019 and 2016
  • 4515270 SubmissionQueueLengthMonitor shows “System.ArgumentException: Transition timeout…” in Exchange Server 2019 and 2016
  • 4515267 NDR occurs when you resend message from alternate journaling mailbox to journaling mailbox in Exchange Server 2019 and 2016
  • 4515265 Removing In-Place Hold doesn't work for mailboxes in different domains in Exchange Server 2019 and 2016
  • 4515264 FindPeople request from Skype for Business on Mac fails with "Invalid Shape Specification" in Exchange Server 2019 and 2016
  • 4515263 Hide the "Validate-MailFlowThroughFrontDoor" command for Exchange Server 2019 and 2016
  • 4515262 Enable Remove-MobileDevice to delete mobile devices after migrating to Office 365 from Exchange Server 2019 and 2016
  • 4515261 Can't copy eDiscovery search results for mailboxes with Exchange online archives in Office 365 in Exchange Server 2019 and 2016
  • 4515273 Mailbox auditing fails when using SHA1Managed in Exchange Server 2019 and 2016
  • 4515266 Infinite loop in Recurrence.GetNumberOfYearsBetween() with the Japanese calendar in Exchange Server 2019 and 2016
  • 4520319 S/MIME signed reply draft behaves like the first message in conversation in Exchange Server 2019 and 2016
  • 4515832 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 10, 2019

Exchange 2019 CU2 (18. Jun 19)

Auch wenn Exchange 2019 von Exchange Online abgetrennt wurde, gibt es doch sehr viele Updates und Korrekturen.

  • Cumulative Update 2 for Exchange Server 2019
    https://support.microsoft.com/en-us/help/4488401/cumulative-update-2-for-exchange-server-2019
  • 4502134 Can't get all the emails when searching mailbox by using an end date that's different from today in Exchange Server 2019
  • 4502135 Correct the error message that you receive when installing Exchange Server 2019 in an organization that has Exchange Server 2010 installed
  • 4502154 Providing information to administrators when auto forward limit is reached in Exchange Server 2019 and 2016
  • 4502155 "The primary SMTP address must be specified when referencing a mailbox" error when you use impersonation in Exchange Server 2019 and 2016
  • 4502156 Audit logs aren’t updated when "-WhatIf" is used as $false in the command in Exchange Server 2019 and 2016
  • 4502157 The Find command not returning the HasAttachments element in Exchange Server 2019 and 2016
  • 4502158 SyncFolderItems contains duplicated ReadFlagChange items in Exchange Server 2019 and 2016
  • 4502131 "TLS negotiation failed with error UnknownCredentials" error after you update TLSCertificateName on Office 365 send connector in Exchange Server 2019 hybrid environment
  • 4502132 Can't reply to old emails after migration even though old legacyExchangeDN is set to migrated mailbox in Exchange Server 2019 and 2016
  • 4502136 The response of FETCH (BODYSTRUCTURE) command of IMAP violates RFC 3501 in Exchange Server 2019 and 2016
  • 4502140 Can't preview an eDiscovery search when there are multiple domains in Exchange Server 2019 and 2016
  • 4502141 Appointment that’s created by responding to an email message doesn’t show in any Outlook calendar views in Exchange Server 2019 and Exchange Server 2016
  • 4502133 Can't use Outlook on the web to reply a partner email through mutual TLS in Exchange Server 2019 and 2016
  • 4488396 Can't search any results in manually added shared mailbox in Outlook in Exchange Server 2019 and 2016
  • 4488078 Public folder contact lists don't show contact's profile picture in Outlook on the web in Exchange Server 2019 and 2016
  • 4499503 Heavy organizational forms traffic because of materialized restriction when organization forms library has more than 500 items in Exchange Server 2019 and 2016
  • 4503027 Description of the security update for Microsoft Exchange Server 2019 and 2016: June 11, 2019

Exchange 2019 CU1 KB4487563

Mitte April hat Microsoft ein weiteres Security Update für Exchange 2010 bis 2019 veröffentlicht.

Security Update for Exchange Server 2019
CU1 https://www.microsoft.com/de-DE/download/details.aspx?id=58200
RTM https://www.microsoft.com/de-DE/download/details.aspx?id=58198

Exchange 2019 CU1

Aufgrund einer Lücke in EWS und erweiterten Rechten ist das CU1 sehr zeitnah nachgeliefert worden Siehe dazu die gesonderte Seite.

Achtung: Kein Fix ohne Bug. am 19. Feb kam nach dem Patchday ein wichtiges Updates raus, welches Sie auf Windows 2016 installieren sollten
February 19, 2019—KB4487006 (OS Build 14393.2828) https://support.microsoft.com/en-us/help/4487006/windows-10-update-kb4487006 
Es löst ein Problem mit der Anzeige des Addresbuchs und fixt ein HTTP/2 Problem. Siehe "Define thresholds on the number of HTTP/2 Settings parameters exchanged over a connection " https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange

Exchange Security Update Jan 2019

Laut Beschreibung reicht eine entsprechend formatierte Mail, dass Exchange den Code als System User ausführt. Zwar ist der Fehler noch nicht veröffentlich und es gibt am 11.jan auch noch keine Angriffe aber wir können sicher sein, dass die bösen Jungs nun die Änderungen im Patch untersuchen um die Lücke auszunutzen. Betroffen ist Exchange 2016 und 2019 und es gibt nur für die folgenden Versionen ein entsprechendes Update

  • Microsoft Exchange Server 2019 RTM
  • Microsoft Exchange Server 2016 Cumulative Update 10
  • Microsoft Exchange Server 2016 Cumulative Update 11

Spätestens jetzt sollten Sie wirklich erkennen, wie wichtig ein halbwegs aktueller Patchstand ist, um so kleine Security Updates zeitnah installieren zu können.

Security Update For Exchange Server 2016 CU10 (KB4471389
https://www.microsoft.com/en-us/download/details.aspx?id=57757
Security Update For Exchange Server 2016 CU11 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57758
Security Update For Exchange Server 2019 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57756

Im Schatten dieses Updates wird noch eine weitere Lücke gestopft, bei der per PowerShell ein Zugriff auf Kalender möglich ist. Dieses Problem betrifft zusätzlich noch

  • Microsoft Exchange Server 2013 Cumulative Update 21
  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 25

Die Beschreibung finden Sie hier