Exchange Server und Spectre

Microsoft hat einen Artikel zu Exchange Server und Spectre (speculative execution side-channel) veröffentlicht. Da es sich hier um eine Schwachstelle in den Prozessoren handelt, sind auch Exchange Server betroffen. Es gibt ein paar Dinge zu beachten. Microsoft schreibt folgendes:

As these are hardware level attacks targeting x64-based and x86-based processor systems, all supported versions of Microsoft Exchange Server are impacted by this issue.

Exchange Server und Spectre

Quelle: Exchange Server guidance to protect against speculative execution side-channel vulnerabilities

Im Prinzip läuft es darauf hinaus die bereits veröffentlichten Updates für das Betriebssystem zu installieren, einen direktes Update für Exchange Server gibt es nicht:

Es gibt allerdings zu beachten, dass es nach der Installation des Updates zu Leistungseinbußen kommen kann (siehe Q4 im verlinkten Artikel). Außerdem kann es zu Problemen mit manchen Virenscannern kommen, Hier sollte vorher geprüft werden, ob der eingesetzte Virenscanner kompatibel ist. Ausführliche Tests sind also nötig.

Ebenso sollte in Verbindung mit AMD-Prozessoren das Update nicht installiert werden, da es zu Problemen beim Start kommen kann:

Mir wurde das Update nicht via Windows Update zum Download angeboten, ich habe es daher aus dem Windows Update Katalog runtergeladen und installiert:

Windows Update Katalog KB4056890

Ebenfalls wichtig: Da die Schwachstelle den Prozessor betrifft, muss auch der Hypervisor (Hyper-V, ESXi, etc) mit entsprechenden Updates versorgt werden, wenn die Server als VM betrieben werden. Es reicht nicht, nur die VM oder nur den Hypervisor zu aktualisieren. Auch hier kann es dann wieder zu Leistungseinbußen kommen.

6 Gedanken zu „Exchange Server und Spectre“

  1. Es sind ja bei einem Server ohne AV 3 Keys zu setzen. Einer damit man das Update bekommt (und alle weiteren danach) und zwei als sog. mitigation von MS.
    Habt ihr schon gepatcht ? Wie wars mit der Performance ? Ich soll am Samstag loslegen…

    Antworten
    • Die Registry Keys hatte ich gesetzt, trotzdem wurde es bei mir nicht per Windows Update angeboten. Ich hatte das Update dann aus dem Katalog runtergeladen, bin allerdings noch nicht zur Installation gekommen. Ich wollte es auch zunächst in einer Testumgebung ausprobieren.
      Gruß, Frank

      Antworten
  2. Hey Frank,

    Du bekommst das Update auf dem Server nur angeboten wenn auf dem Server ein entsprechender Registry Key gesetzt ist. Der Regkey sollte von allen kompatiblen AV Programmen gesetzt werden. Wenn kein AV installiert ist muss der Key manuell gesetzt werden.

    Antworten
  3. Danke für den Beitrag!

    VMWare hat die ESXi 6.0 und 6.5 Patches teilweise wieder zurückgezogen.
    HP bietet leider nur für G8 und G9 ein neues BIOS, G7 sollte eigentlich noch bis März 2018 Support bekommen, hier bleibt abzuwarten ob noch was passiert. G6 sind definitiv tot. HP hat aber auch das BIOS für G8 und G9 wieder zurück gezogen, ein absolutes Chaos momentan…

    VG Jonas

    Antworten
  4. Hallo,
    Danke für deinen Beitrag, aber….

    Habe ich wirklich einen Einfluss bei dieser Lücke, wenn es den wirklich eine ist und kein feature? Auf TS installieren, auf DB Servern nicht oder doch, die Informationen sind für mich noch nicht ausreichend. Und das Google mit der Meldung dazwischen grätscht das sie das Problem schon vor Monaten gelöst haben, und noch besser wie alle anderen jetzt mach es auch nicht besser.
    Wenn die SSL Lücke ein 14 auf der Scala bis 10 ist, was ist das jetzt? Irgendwie empfinde ich das alles mittlerweile als sehr destruktive, besonders heute, nach einem Meeting zu sicheren Mails im Austausch mit unseren Kostenträgern.

    Aber danke für deine Arbeit,
    Grüße, Frank

    Antworten

Schreibe einen Kommentar