Exchange Server: Neue Sicherheitsupdates verfügbar (November 2024)

Microsoft hat neue Sicherheitsupdates für Exchange Server 2016 und 2019 veröffentlicht. Hier geht es direkt zum Download:

  • Exchange Server 2019 CU13 und CU14
  • Exchange Server 2016 CU23

Das Sicherheitsupdate bringt auch neue Features mit:

Verbesserungen in der Integration von AMSI im Exchange Server

Ab dem Release des November 2024 Sicherheitsupdate wurde die Fähigkeit von Produkten, die die Exchange Server AMSI-Integration verwenden, erweitert, um zusätzliche Aufgaben auf den Nachrichteninhalt durchzuführen. Diese Funktion ist standardmäßig deaktiviert und kann pro Protokoll aktiviert werden. Es wird empfohlen, diese Funktion zunächst für eine Teilmenge der Dienste zu aktivieren, da es möglich ist, dass dies zu Performance-Problemen führen kann.

Erkennung von nicht-konformen RFC 5322 P2 FROM-Headern

Um die Sicherheitslücke CVE-2024-49040 zu beheben, wurde eine neue Funktion implementiert, um nicht-konforme P2 FROM-Header im eingehenden E-Mail-Verkehr zu erkennen. Der P2 FROM-Header in einer E-Mail ist ein Teil des Nachrichten-Headers, der im E-Mail-Client des Empfängers angezeigt wird (z. B. Outlook). Es handelt sich um die E-Mail-Adresse oder den Namen des Absenders (falls der Absender intern ist), der im „Von“-Feld erscheint, wenn eine E-Mail im Posteingang betrachtet wird.

Verbesserungen der ECC-Zertifikatunterstützung

Die November 2024 Sicherheitsupdates verbessern die Unterstützung für ECC-Zertifikate. ECC-Zertifikate können nun auf Edge-Transport-Servern verwendet und mit POP- und IMAP-Diensten verbunden werden. Beachtet werden muss, dass sich die Art und Weise geändert hat, wie die ECC-Zertifikatunterstützung aktiviert werden kann. In der vorherigen Implementierung war eine New-SettingOverride erforderlich, um die Funktion zu aktivieren. Ab dem November 2024 SU muss stattdessen ein Registrierungseintrag erstellt werden, anstelle des Overrides.

Exchange Server: Neue Updates verfügbar (November 2024)
Quelle: Exchange Team Blog

Hinweis 14.11.2024: Die Updates wurden aufgrund von Problemen am 14.11.2024 von Microsoft zurückgezogen.

Update 27.11.2024: Die Updates wurden mit dem Zusatz v2 neu veröffentlicht.

25 Gedanken zu „Exchange Server: Neue Sicherheitsupdates verfügbar (November 2024)“

  1. 4. Nachtrag zum Exchange 2016 SU
    Wie angekündigt heute Nachmittag erneut einen Snapshot erstellt. Status: Exchange 2016 mit manuell installiertem SU auf den Oktober-Updates von M$ – alles OK.
    Nachdem das 2024-11 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5046612) und das 2024-11 Kumulatives Update füe .NET Framework 4.8 für Windows Server 2016 für x64 (KB5046266) installiert sind und die Prozente nach dem Neustart auf 100% springen, startet die VM neu und meldet sofort „Die Updates konnten nicht eingerichtet werden. Änderungen werden rückgängig gemacht. Schalten Sie den Computer nicht aus.“ Das hatten wir ja gestern schon und endet final in einer Schleife. Also VM aus und Snapshot zurück. Alles wieder OK.

    Fazit: Das Exchange SU scheint nicht der Fehler zu sein, es ist leider aktuell der letzte Server 2016 in meiner Demo-Umgebung. Bei Kunden ist diese Konstellation jedoch noch häufiger im Einsatz. Macht wenig Spaß, nun nicht mal „eben schnell“ die Updates auszurollen und evtl. per Taskmanager einen Reboot außerhalb der Bürozeiten anzutriggern. Sondern alles schön mit Ansagen, Terminfenster und Snapshot/Backup vorher. *grummel*

    Mal wieder: Danke für nix, Microsoft.

    Antworten
    • Hallo,

      Ich habe eine Frage zur Snapshot Thematik – wie tust du da mit den DBs bzw den stand der mails/inhalte nach dem restore.

      Verlierst du da keine Mails in der Zeit vom snapshot bzw zum restore, was und wie passiert das?

      Meine externen Berater haben mir gesagt nie snapshot restore machen auf exchange srv…

      Danke

      Antworten
  2. Das Update lief automatisch problemfrei und wurde installiert. Server danach rebooted.

    Leider funktionieren jetzt die Transportregeln nicht mehr sauber. Sie greifen mal und mal nicht, bei der gleichen „Email“

    Hat jemand aehnlich Erfahrungen und eine Loesung

    Antworten
  3. Server 2016 mit Exchange 2016 CU23: keine nennenswerten Probleme. Erst Server 2016 November CU installiert, Neustart, SU (.EXE) installiert und Neustart (dauerte etwas länger).
    Überrascht war ich das die SU Installation zu keiner Downtime führte. Es wurden nur drei Dienste deaktiviert, die für den Betrieb und Konnektivität unerheblich waren. Healtchecker ist zufrienden.

    Antworten
  4. 3. Nachtrag zum SU Exchange 2016

    Wir sind wieder bei recoverten Snapshot von 19:17 Uhr. Kein Update ist installiert.

    Es ist 21:27 Uhr und ich muss mich sputen, damit mir nicht das Backup ab 22:30 Uhr in meine Pläne grätscht.

    Exchange SU 14 (Exchange2016-KB5044062-x64-de) ist heruntergeladen, ein frischer Snapshot erstellt.

    Status für Neueinsteiger: Exchange 2016 – kein Neustart erfoderlich seit Updates von 10/2024. Da sind wir nun wieder.

    Exchange Server 2016 Security Update setup – läuft…
    . computing space requirements (Cancel wäre noch möglich)

    Würde ich ein Video aufnehmen, ich würde später vorspulen.

    […] BREAK […] 21:36 Uhr

    Back again. Ich kann „Next“ anklicken und erneut erscheint „Compting space requirements“… *gähn* „Cancel“ wäre wieder eine gern genommene Option ;o)

    In einem anderen Browser lese ich den Beitrag von Alex. von 21:37 Uhr.

    „bei mir funktionierte es ohne Probleme. Exchange 2016 CU23. Zuerst die Nov Updates per WSUS installiert –> Neustart und anschließend das SU per administrativer CMD installiert. HealthChecker zeigt installiertes SU an und der Outlook Client bleibt ebenfalls verbunden.“

    Den Punkt hatte ich ja schon – also erst nur die Nov. Updates. Das hat meinem Demo-Exchange (mit typisch Kunden-spezifischem KMU-Geraffel (POPCon Pro, GFI FaxMaker usw.)) das Genick gebrochen. Oder so in der Art.

    Ah, das EXC SUpdate stoppt nun die Dienste.

    „Validating install“. Und läuft recht zügig durch.

    Wieder kurz ein Blick in den anderen Browser. Carsten schreibt um 21:26:

    „Also ich hab hier keine Probleme auf 2016 CU23 feststellen können. Erst SU installiert, Neustart. Dann CU hinterher, Neustart. Habe keine besonderen Auffälligkeiten bemerkt.“

    Dann CU hinterher? Welche CU? Das SU ist doch das aktuellste (von gestern/heute), was MS aktuell anbietet, oder verstehe ich da was falsch?

    Jupp, wir sind inzwischen bei „coping new files“ – und noch ca. 25 Minuten bis zum nächsten Backup. Das verschieb ich mal besser auf nach 00:00 Uhr.

    Update Status: „creating native images for Exchange assemblies“… und der „Cancel“ Button ist weg.

    Läuft nicht mehr so flüssig wie vorher, es werden nun div. DLLs erzeugt/installiert. „This process can take an extended period of time to complete“. Das wäre was für Einstein… Zeit ist relativ. (wie erkläre ich das meinem Chef, was ich hier die letzten 4 Stunden gemacht habe?)

    […] BREAK […] ==~

    „Pleas wait while the setup wizard installs Security Update for Exchange Server 2016 CU 23 (KB5044062). This may take several minutes.“
    What?
    Das war doch schon vorher installiert.

    Das vorliegende Exchange health checker Log bestätigt das:
    Version: Exchange 2016 CU23 Apr24HU

    22:18 – Mein Client meldet Outlook ist wieder „online“ und mit dem Exchange verbunden.
    Das SU läuft aber immer noch.

    120 Sekunden später… Und nun. „Removing backup files“ *trommelwirbel*

    Schade, ein Screenshot kann hier nicht rein. „Setup Wizard for Security Update fpr Exchange Server 2016 CU 23 (KB50044062) Completed“. Einzige Option: Klick [Finish]

    YES you must restart your system…. or manually later. Ja klar, würde ich meine Weihnachtsgeschenke auch lieber erst an Sylvester auspacken. Los nun Du Rechenknecht…

    Noch kurz zur Erinnerung, die Clients haben immer noch eine Verbindung zum EXC. Und auch sonst ist nichts im Nagios aufgefallen. Außer „MSCompliantAudit=stopped“, aber das steht da schon seit guten 3 Stunden.

    Noch eine kurze Pause… und schon mal die VMware Console gestartet.

    [BREAK] „Windows wird vorbereitet und schalten Sie den Computer bloss nicht aus!“
    Nagios: „TrustedInstaller=Stopping“

    Ok, Zeitlimit setzen. Wenn da in 30 Minuten nix passiert. Knick-Knack, VM aus und Snaphot zurückstrudeln.

    23:36. Kurz vor Überschreitung des gesetzten Zeitlimits. Und nun gehts RatzFatz. Remote Console meldet bereit zur Anmeldung, Nagios hinkt leicht hinterher. Letzter Online Client mit Outlook „Verbindungsversuch“. Das wird schon. Irgendwie habe ich ein gutes Gefühl, erklären kann ich das aber nicht. Immerhin gehts nicht wieder in die „Wiederherstellungsschleife“. Gut, dann mal per RDP auf den EXC und Dienste bzw. allgemeines Verhalten nachschauen.

    Interessant: Der verbliebene Outlook-Client meldet „Eingeschränkte Konnektivität“ .. ok, 1 Minute später „Verbunden mit Exchange“. Smartdevices Test Mail. Nix. Kein Fehler, keine Mail (wohlgemerkt intern an den Absender). Ja, wer keine Freunde hat… Outlook Neustart.

    Im Posteingang sind keine Mails (zu sehen), aber ein kursiver Hinweis „Es sind weitere Elemente in diesem Ordner auf dem Server vorhanden“. Darunter noch als Link “ Klicken Sie hier, um weitere Info… zu MS Exchange anzuzeigen“ Gemacht, überrascht, eine Mail von 16:19 Uhr wird angezeigt. Obacht, es ist bereits 23:55 Uhr. Bei „Ungelesene Nachrichten“ sind aber aktuelle Mails zu sehen (von extern um 23:42 Uhr, alles erstmal OK. Die sind auch auf dem Smartphone „angekommen“. Nee, sind sie nicht. Da ist nun auch die Mail von 16:19 Uhr. Und nur die. Boah, wie banal. Tests INTERN, welches Gerät nimmt die Mails an? Und wie von Zauberhand und ohne einen Dienst, der nicht lief, zu starten… plopp, plopp, plopp… Läuft?

    Test von EXTERN…

    Yess. Kommt an, also kein Grund, den Status über Snapshot-Wiederherstellung zu „zerstören“. Eher eine gute Grundlage um im laufenden Betrieb weiteres Debugging zu betreiben. So, und nun mal den MSComplainceAudit starten, das nervt langsam. ;0)

    Nagios meldet alle Services grün, Host reboot vor 24 Minuten. Gute Basis für Morgen – fehlen ja nun noch die Nov.-Updates ;o)

    Antworten
    • Puhh, das klingt ja nach einem Albtraum.
      Ich habe bei meinem MX 2016 (auf Server 2016) das Update manuell über elevated cmd installiert. Hat ca. 20 Minuten gedauert. Danach Windows Updates hinterher und in der Nacht einen Neustart. Soweit keine Probleme bekannt.

      Antworten
      • Das Problem scheint zu sein, dass der Herr das SU per WSUS und damit Windows Update installieren will und nicht per elevated prompt. Als er das tat ging es ja „plötzlich“. Aber wer soviel Zeit hat hier Romane zu schreiben, da wundert einen nichts mehr

        Antworten
  5. 2. Nachtrag zum EXC SU

    Gut, dann eben die Reihenfolge umdrehen. Keine MS Updates 11/2024. Server frisch neustarten und das Exchange SU „so ganz allein“ installieren. Ja, mit Snapshot. Wenn’s andersherum nicht läuft, die einzig logische Option. Ach, optional on prem abreißen und ab in die cloud. Oder..?

    ¯_(ツ)_/¯

    Never…

    Antworten
    • Also ich hab hier keine Probleme auf 2016 CU23 feststellen können. Erst SU installiert, Neustart. Dann CU hinterher, Neustart. Habe keine besonderen Auffälligkeiten bemerkt.

      Antworten
    • Hi,
      bei mir funktionierte es ohne Probleme. Exchange 2016 CU23. Zuerst die Nov Updates per WSUS installiert –> Neustart und anschließend das SU per administrativer CMD installiert. HealthChecker zeigt installiertes SU an und der Outlook Client bleibt ebenfalls verbunden.

      Antworten
  6. Fortsetzung Update Exchange 2016 CU23.

    Die Updates November 2024 (ohne SU) sind durch. Ich verfolge die Aktivitäten im VMware remote console Fenster. Und dann wieder die Meldung: „Die Updates konnten nicht eingerichtet werden. Änderungen werden rückgängig gemacht. Schalten Sie den Computer nicht aus.“ Das sieht dann nicht wirklich nach dem SU als Auslöser aus, oder?
    Dann also morgen in Ruhe Fehlersuche durchführen. Sorry, wenn ich evtl. für Verwirrung gesorgt habe, aber wenn MS noch das in Q4/2024 angekündigte CU24 (?) als Vorbereitung für die Migration zum Exchange 2022 untern Baum legt… Danke, ich wollte um Weihnachten rum nicht optional ungetestete Updates auf Kundensystemen ausrollen. ;0)

    Parallel noch mal recherchiert und bei Günter Born auf den aktuellen Artikel zum SU gestoßen (und wieder sind es die bösen on-prem Kunden):

    „Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Server-Installationen schützen. Details zur Update-Installation sowie zu den Schwachstellen, lassen sich im Techcommunity-Beitrag sowie in dem Supportbeitrag KB5044062 entnehmen.

    Diese Sicherheitslücken betreffen Exchange Server (On-Premises). Exchange Online-Kunden sind bereits vor den Sicherheitslücken geschützt, die durch diese SUs behoben werden, und müssen außer der Aktualisierung aller Exchange-Server oder Exchange-Verwaltungstools-Workstations in ihrer Umgebung keine weiteren Maßnahmen ergreifen.“

    Quelle: https://www.borncity.com/blog/2024/11/13/microsoft-exchange-server-updates-12-november-2024/

    MaGGs

    Antworten
  7. Moin, hat schon außer mir noch jemand auf Exchange 2016 CU23 Probleme, die sich dadurch äußern das ein Rollback des Updates vom System versucht wird? Situation: Exchange seit letztem Update (10/2024) up and running, nun die November Patches UND das Exchange SU in einem Rutsch durchgezogen (aber vorher einen Snapshot erstellt). Ging normal fluffig, Outlook meldet sich am Client wieder Online, aber nach 15 Minuten: „Outlook hat die Verbindung getrennt“. Ok, parallel meldet Nagios die VM als DOWN. Über die VMware remote console dann der Status: „Die Updates konnten nicht eingerichtet werden. Änderungen werden rückgängig gemacht. Schalten Sie den Computer nicht aus.“. Naja, dann warten wir mal, was passiert… Kurzfassung: Nix, das Ganze dreht sich im Kreis. VM aus, Snapshot zurückspielen und parallel im WSUS das Exchange SU abgelehnt. Exchange macht nach Recovery keine Probleme, erkennt auch, dass das SU nicht mehr relevant ist. Da ich Schisser – noch einen Snapshot machen und nur die November Updates durchziehen. Ich melde mich noch mal, wenn die durch sind.

    Weiterer Plan: Wenn die MS Updates für 11/2024 (erfolgreich) erledigt sind, nur noch das SU nachziehen. Natürlich mit Snapshot. ;=)

    Oh, ich sehe gerade… Neustart steht an. Moment… Ich melde mich gleich wieder. ^^

    MaGGs

    Antworten
  8. Die Probleme scheinen noch immer zu bestehen. Wollte gerade was per WSUS ziehen. Der Download benötigt jetzt schon 30 Minuten und kein Ende in Sicht…

    OT: frankysweb scheint zur Zeit auch Probleme zu haben. Ständig bekomme ich Resource Limit Is Reached Fehler.

    Antworten
    • Gab gestern Abend wohl generell ein Problem mit dem Download Center laut einem Kommentar im Blog-Post. Es sollte inzwischen wieder gehen, zumindest konnte ich gerade das Update für Exchange 2019 CU14 runterladen.

      Antworten
      • funzt scheinbar noch (immer) nicht, versuche seit Freitag über verschiedene Seiten das Update zu ziehen, bekomme aber immer einen 403, auch der Link hier geht nicht. Das CU14 konnte ich ganz normal herunterladen.
        Weiß jmd. mehr? Angeblich sollen Transportregeln nach dem Update nicht mehr funktioniert haben.

        Thx Markus

        Antworten

Schreibe einen Kommentar