Wichtiges Update für Exchange 2013/2016

Heute wurde ein wichtiges Update für die folgenden Exchange Server Versionen veröffentlicht:

Interessant ist, dass die Exchange Versionen nicht mehr ganz aktuell sind. Es gibt bereits das CU4 für Exchange 2016, sowie CU15 für Exchange 2013.

Microsoft schreibt folgendes zur Schwachstelle und stuft das Sicherheitsupdate mit dem Schweregrad „Hoch“ ein:

https://technet.microsoft.com/library/security/MS17-015

Es besteht eine Sicherheitsanfälligkeit durch Rechteerweiterungen in Microsoft Exchange Outlook Web Access (OWA), da Webanforderungen nicht ordnungsgemäß verarbeitet werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Skript- oder Inhaltseinschleusungsangriffe durchführen und versuchen, den Benutzer zum Offenlegen vertraulicher Informationen zu verleiten.

Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete E-Mail mit einem schädlichen Link an einen Benutzer sendet. Alternativ könnte ein Angreifer einen Chat-Client nutzen, um einen Benutzer dazu zu verleiten, auf den schädlichen Link zu klicken.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Exchange Webanforderungen überprüft.

HINWEIS: Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer auf einen schädlichen Link eines Angreifers klickt.

Hier geht es direkt zum Download der Updates:

Scheinbar ist die Lücke in der aktuellen Exchange Version (CU4 für Exchange 2016, CU15 für Exchange 2013) nicht vorhanden, zumindest passen die Versionsnummern dann nicht überein:

Exchange 2016 CU4: 15.01.0669.032

KB4012178 für Exchange 2016 CU3: 15.01.0544.030

4 Kommentare zu “Wichtiges Update für Exchange 2013/2016”

    1. Hi Volker,
      nein, das CU3 gibt es nicht zwei mal. Für das CU3 wurde das Security Update nachgereicht, es handelt sich bei dem Update aber nicht um ein komplettes CU. Für Exchange 2016 gibt es bereits CU4 welches im Dezember veröffentlicht wurde. Das Build von CU3 + Security Update bleibt von der Versionsnummer unter der des CU4.
      Gruß, Frank

  1. Auch in der Vergangenheit gab es schon mal Sicherheits-Updates für CUs – auch für bereits aktualisierte.
    Die sind für den Fall gedacht, dass noch jemand nicht auf das aktuelle CU gewechselt hat – was ja seit Ex2013 eine Exchange Neuinstallation bedeutet, und damit recht aufwändig ist – im Gegensatz zum Einspielen eines Patches.

    Mit den im heutigen Patchday veröffentlichten Updates will MS sichergehen, dass auch jeder die Lücke schließen kann, auch wenn er noch nicht das aktuelle CU aufspielt.

    Wenn Du das aktuelle CU hast, wirst Du vermutlich das Update gar nicht aufspielen können.

    1. Hi Nathan,
      das ist korrekt. Was mich etwas stutzig macht ist folgendes (bezogen auf Exchange 2016):
      CU3 wurde im September 2016 veröffentlicht.
      CU4 wurde im Dezember 2016 veröffentlicht.
      Wenn CU4 das Problem welches mit dem heutigen Update für CU3 geschlossen wurde nicht hat, dann scheint man das Problem ja bereits mit dem CU4 behoben zu haben. Warum wird diese Lücke also erst jetzt (über 3 Monate später) für das CU3 gefixt?
      Gruß, Frank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.