Exchange Sicherheitsupdates müssen dringend installiert werden

Aktuell geht es wieder durch die Medien: Angreifer versuchen Exchange Sicherheitslücken auszunutzen. Diesmal sind allerdings die Updates schon seit längerem verfügbar. Wer also bisher nicht die letzten Sicherheitsupdates installiert hat, sollte dies nun schnellstmöglich nachholen.

Hier noch einmal eine Zusammenfassung der verfügbaren Sicherheitsupdates:

In einem Tweet heißt beispielsweise das CERT-Bund auf die aktuelle Lage hin, derzeit sind wohl noch immer tausende Exchange Server allein in Deutschland verwundbar. Da die Scans nach den Schwachstellen und die Angriffe automatisiert stattfinden, ist es nur eine Frage der Zeit bis die verwundbaren Exchange Server infiziert werden.

Etwas Vorsicht ist allerdings bei den Juli Updates geboten, hier kann es passieren, dass OWA und ECP nach dem Update nicht mehr erreichbar sind. Hier findet sich die Lösung des Problems:

Falls die Juli Updates noch installiert werden müssen, also besser vorher einmal nach dem „Exchange Server Auth Certificate“ schauen und es gegebenenfalls schon vor der Installation des Updates austauschen.

Hier gibt es noch ein PowerShell Test Script, welches auf die Schwachstelle CVE-2021-34470 testet:

Wichtig: Das Script kann auch gleich einen Fix anwenden, dies bezieht sich allerdings auf Umgebungen in der eine sehr alte Exchange Server Version, oder kein Exchange Server mehr installiert ist (beispielsweise nach einer Migration zu Microsoft 365). Auch in diesem Fall ist sind Systeme auf die Schwachstelle CVE-2021-34470 verwundbar. Hier gibt es den entsprechenden Artikel dazu:

Exchange Sicherheitsupdates müssen dringend installiert werden

12 Gedanken zu „Exchange Sicherheitsupdates müssen dringend installiert werden“

  1. Kann das sein, dass bei den installierten Updates nur das KB5004779 angezeigt wird und die anderen beiden nicht?
    Hab alle drei händisch installiert.
    Habe einen Exchange 2016 CU20

    Dank euch

    Antworten
      • Hi Philipp,

        ich hab den Fix aus dem Script ausgeführt. Das dauerte keine Sekunde. Nun wird mir CVE-2021-34470 vulnerability is not present angezeigt.

        Ich habe aber nicht das Schema via Exchange Setup aktualisiert.

        Antworten
        • Hi zusammen,
          reicht es denn wirklich den Fix aus dem Script auszuführen oder muss das Schema via Exchange Setup aktualisiert werden? Ich möchte gerne auf Nummer sicher gehen. Wenn mir das Script das richtige Ergebnis anzeigt, die Lücke trotzdem nicht sauber geschlossen wird, bringt mir das nicht viel. Im Testsystem habe ich das Script ausgeführt und dann wird „not present“ gemeldet. (Ohne Schema Update). Im Livesystem wird ohne Fix und ohne Schema Update „vulnerability is present“ gemeldet. –> Exchange 2013 alle Patches inkl. Juli Patch sind installiert.

          Vielen Dank für die super Arbeit, Frank.

          Gruß
          Mario

  2. Hallo zusammen,

    ich habe diverse Artikel gelesen wie zum Beispiel diesen hier
    https://www.borncity.com/blog/2021/08/10/exchange-server-neues-zu-den-proxyshell-schwachstellen/?fbclid=IwAR2-F1Y7SyrQg_fnc2l49Ya_vr5erCqDrs5-7qw_bTJd6j5Hkk9o3UpXJ3g

    Wenn ich es richtig verstehe, werden die Lücken ausgenutzt wer noch keine SU vom April und Mai eingespielt hat? Die Juli patches werden noch gar nicht erwähnt.

    Losgelöst davon das diese natürlich auch eingespielt werden müssen..Handlungsbedarf hat aber akut wer noch den Stand vom März hat?!

    Antworten
  3. @Mario: Bei 2013 musst du das Setup nach dem Update ausführen.
    Ich hatte es genau wie du erst via Script gemacht. Das anschließende Setup ist nach 3-5 Minuten fertig.

    Ich betreibe ebenfalls eine 2013 DAG

    Antworten
  4. Reicht es, wenn man die neuste CU + Sicherheitsupdate einspielt? Oder sind die erforderlichen Sicherheitsupdate aus April und Mai auch erforderlich?

    Antworten

Schreibe einen Kommentar