Neue Sicherheitsupdates für Exchange Server (Mai 2022)

Microsoft hat neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Hier geht es direkt zu den Downloads:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU22 und CU23
  • Exchange Server 2019 CU11 und CU12

Das Update behebt eine Schwachstelle (CVE-2022-21978) welche als „Wichtig“ eingestuft ist. Das Update sollte daher zeitnah installiert werden.

Details zu der Schwachstelle gibt es hier:

Die Sicherheitsupdate erfordern, dass /PrepareAllDomains manuell nach der Installation der Sicherheitsupdates ausgeführt wird. Für Exchange 2016 und 2019 muss der folgende Befehl ausgeführt werden:

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains

Für Exchange 2013 ist es dieser Befehl:

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains

Die Datei setup.exe findet sich im Exchange Installationsverzeichnis (C:\Program Files\Microsoft\Exchange Server\v15\Bin).

Hier ist der Artikel auf dem Exchange Team Blog:

Eine weitere wichtige Änderung ist, dass die Sicherheitsupdates nicht mehr nur als .msp Datei angeboten werden, sondern auch als .EXE Datei. In der Vergangenheit musste zunächst eine Shell mit erweiterten Rechten gestartet werden, aus der dann das Update installiert wurde. Die Installation der Updates ohne erweiterte Rechte, hatte oft eine defekte Exchange Installation zur Folge. Das Update im .EXE Format kann nun einfach per Doppelklick installiert werden. Die erforderlichen Rechte werden automatisch angefordert. Dies macht die manuelle Installation der Updates etwas einfacher. Sicherheitsupdates wird es auch weiterhin als .msp Datei geben, dieses Format eignet sich für die automatische Installation.

Neu ist auch, dass die Updates Logfiles über die Installation erzeugen. Die Logs werden im Ordner C:\Program Files\Microsoft\Exchange Server\v15\Logging\Update gespeichert. Wenn also mal ein Update schief geht, könnte man hier vielleicht einen Hinweis auf die Ursache finden. Hier findet sich eine Beschreibung zum Sicherheitsupdate als .EXE Datei:

Update 10.05.2022: Im ursprünglichen Artikel waren die falschen CVEs aus dem März Update verlinkt. Dies wurde korrigiert.

Neue Sicherheitsupdates für Exchange Server (Mai 2022)

51 Gedanken zu „Neue Sicherheitsupdates für Exchange Server (Mai 2022)“

  1. „You need to run /PrepareAllDomains only once per organization and those changes will apply to all versions of Exchange Server within the organization.“

    Heißt für mich, es reicht bei zwei oder mehr Exchange Server diesen Befehl 1x auszuführen?

    Wäre der Ablauf
    1. Installation SU Server 1
    2. Installation SU Server 2
    3. prepare Befehl

    ?

    Antworten
    • Ja, der /PrepareAllDomains Schalter sorgt für die Vorbereitung aller Domain Controller in der Organisation. Begründet wurde dies mit der darauf folgenden Härtung der Sicherheit für alle Server. Stelle dabei sicher, dass der Benutzer der den Befehl ausführt auch in der Gruppe der Organisations-Admins bzw. auf Englisch Enterprise-Admins ist.

      Den Prepare-Befehl führst du am besten mit dem Haupt-Exchange-Server aus.

      Antworten
  2. Meine Frage wäre eher wie lange darf der Abstand zwischen der Installation vom SecUpdate und dem Prepare Befehl sein ohne das es zu Problemen kommt.
    Ich bin zwar Exchange Admin und installiere das Update Abends aber soll ich dann Nachts um 23Uhr noch meinen Kollegen der Schema Admin ist aus dem Bett klingeln oder reicht es am Morgen danach?

    Mfg Paul

    Antworten
    • SchemaAdmin braucht man nicht, sondern Enterprise Admin:
      You need to run /PrepareAllDomains only once per organization and those changes will apply to all versions of Exchange Server within the organization. When you run /PrepareAllDomains, your account needs to be a member of the Enterprise Admins security group. This might be a different account from the one you use to install the SU.

      Antworten
      • Ja – sind vom März :)

        Habe NUR 1 gefunden: CVE-2022-21978

        => Exploitation Less Likely

        Ausserdem steht hier: „Successful exploitation of this vulnerability requires the attacker to be authenticated to the Exchange Server as a member of a high privileged group.“

        => Betonung liegt auf: member of a high privileged group (was immer das auch sein soll, vermutl. Admin) :)

        Antworten
    • Und auch nochmal der Hinweis, User muss Mitglied von der Gruppe Organisations-Admins sein..

      In den Artikeln werden natürlich die englischen Begriffe verwendet -> Enterprise Admins

      Antworten
  3. Verstehe ich das richtig, dass preparealldomains auch durchgeführt werden muss wenn das Update über Windows Update installiert wurde?

    Antworten
    • ja. ich find das toll das man trotz wsus und windows update immer wieder mal bei dem ein oder anderen patch einen regkey im nachhinein setzen muss oder hier preparealldomains machen muss.

      Antworten
      • Meh. OK. Danke für die schnelle Antwort ;)
        Nach Update noch reboot und dann prepare oder geht auch gleich nach update und dann erst reboot?

        Antworten
      • Ich bin neu in im Windows/Exchange/AD Game und bin etwas verwundert was Microsoft einem da so zumutet. Vermutlich alles historisch gewachsen und so aber so richtig zeitgemaess wirkt das nicht.

        Bin sehr dankbar, dass es Blogs wie dieses hier gibt, das hilft mir wirklich ungemein.

        Antworten
  4. Hi
    EX 2016 CU23 per EXE installiert.
    alles ohne Probleme. Das starten der Dienste am ende des Setups hat gefühlt wesentlich länger gedauert, als bei den anderen Hotfixes. Im Taskmanager war der Antivirus vom Exchange lange bei 30-50% last.

    Antworten
  5. Gerade installiert und nach reboot den preparealldomains gemacht. Scheint alles noch zu funktionieren. Alleinig das healthchecker script wirft jetzt einen Fehler. Da muss Microsoft wohl noch ein Update nachschieben.

    Mein Vorgehen war, wie hier empfohlen:

    Update(bei mir per WSUS)
    Reboot
    Befehl ausführen

    Grüße

    Antworten
    • Kleines Update:

      Bezüglich dem heakthchecker script kann man im Artikel nun unten in den Kommentaren lesen, dass die Probleme bekannt sind und an einer Lösung gearbeitet wird. Im Moment behauptet das script nämlich, man wäre noch angreifbar, obwohl dem aber nicht so ist.

      Gruß

      Antworten
  6. Hallo, ich hätte noch 2 Fragen.

    1. In meiner DAG hat sich das Security Update ohne Fehler selbst installiert (auf einem Server). Muss ich jetzt nach dem Neustart trotzdem noch den Befehl „Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains“ ausführen wenn das Update über die Windows Updates installiert wurde?
    2. Wann führe ich den Befehl „Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains“ aus? Sobald es in meiner DAG auf einem Server installiert ist oder nachdem es auf allen Servern in der DAG installiert ist?

    Vielen Dank

    Antworten
    • Hallo Chris,

      steht eigentlich alles schon oben in den Kommentaren ;)

      Zu 1)
      Ja, musst du.

      Zu 2)
      Wenn der erste das Update hat.
      Steht genauer im oben verlinkten technet Artikel.

      VG!

      Antworten
  7. Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains geht natürlich auch: /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF (Mit diesem Parameter wird das Senden von Daten an Microsoft deaktiviert.)

    Antworten
    • Kann jetzt auch lesen ,-)

      IMPORTANT: Starting with this release of Security Updates, we are releasing updates in a self-extracting auto-elevating .exe package (in addition to the existing Windows Installer Patch format). Please see this post for more information. Original update packages can be downloaded from Microsoft Update Catalog.

      Antworten
  8. irgendwas stimmt da nicht …
    Patches installiert, Neustart …. /PrepareAllDomains ausgeführt…. HealthChecker.ps1 aktualisiert, Report erzeugt und der Server ist immer noch „vulnerable“?

    Version: Exchange 2019 CU12
    Build Number: 15.02.1118.009
    Exchange IU or Security Hotfix Detected:
    Security Update for Exchange Server 2019 Cumulative Update 12 (KB5014261)

    Antworten
    • Kann ich bestätigen mit Exchange 2016 CU23
      Healthchecker 22.05.11.1625 meldet bei mir auch immer noch vulnerable.
      Habe doppelt gecheckt ob Update installiert ist, nochmal preparealldomains
      ausgeführt (hoffe das schadet nichts wenn man es 2x laufen lässt?), erneuter reboot,
      Meldung bleibt.

      Antworten
      • Vor kurzen kam ein Update für das Script heraus, was den Fehler beheben soll allerdings wird jetzt die Warnung nur rot angezeigt anstatt gelb. Weiter oben im Script wird das SU explizit aufgelistet als installiert. Ich habe sogar gerade noch einmal das Schema Update durchlaufen lassen nur um zu schauen, ob sich das was mit den normalen Windows Updates verhakt hatte. Aber nein, das Script behauptet weiterhin der Exchange wäre anfällig, obwohl das SU installiert ist….

        Antworten
    • Die neueste Version von heute Nacht behebt den Fehler: Exchange Health Checker version 22.05.11.2121

      „All known security issues in this version of the script passed.“

      Ex16 CU23

      Antworten
  9. Hmmm…. Exchange 2016 CU22 hat bei mir das KB5014261 einfach über die Windows Updates erhalten.

    Sollte ich dann trotzdem noch das /PrepareAllDomains ausführen?

    Antworten
    • Doch es ist logisch. Man installiert Exchange Updates nicht automatisch (auch wenn man es kann), weil genau sowas dann eben Probleme offenlässt und du wärest auch nicht der erste, bei dem der Exchange nach dem automatischen Update eben nicht funktioniert, sondern die Dienste deaktiviert hat usw. usf. ;)

      Antworten
  10. Hallo zusammen,
    ich habe noch nicht so ganz verstanden, warum ich nach der Installation des SU manuell den Befehl /PrepareAllDomains ausführen muss. Das habe ich bisher noch nie gemacht.
    Kann mich da bitte jemand aufklären?
    Vielen Dank im Voraus.

    Antworten
    • Das war bisher bei einem Security Update auch nie notwendig. Diesmal aber schon, ansonsten hast du zwar gepatcht, aber das eigentliche „Loch“ ist noch offen, denn das wird erst mit Ausführen dieses Befehls geschlossen.

      Antworten
  11. Bei uns läuft gerade das SU an einem Exchange. Interessant ist, dass über zwei Pfade ein Logging stattfindet.

    \Exchange Server\v15\Logging\Update\exe\ExchangeUpdate_2022-05-12-XXXXX.log
    \Exchange Server\v15\Logging\Update\msi\ExchangeUpdate_2022-05-12-XXXXX.log

    Nebenbei habe ich ein tail auf die generierten Logdateien laufen.
    Am Ende hatte das Logfile im MSI Pfad ca. 36,0 MB und im EXE Pfad ca. 1KB :)

    Antworten
  12. Hi zusammen,

    ich erhalte: Beim Zugriff auf die Registrierung auf diesem Computer ist ein Problem aufgetreten. Dies kann passieren, wenn der Remoteregistrierungsdienst nicht ausgeführt wird. Es kann auch ein Hinweis auf ein Netzwerkproblem oder darauf sein, dass der TCP/IP-NetBIOS-Hilfsdienst nicht ausgeführt wird. Weitere Informationen erhalten Sie unter: http://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.RemoteRegException.aspx

    TCP/IP-NetBIOS-Hilfsdienst der dienst läuft, aber der Remoteregistrierungsdienst nicht und ich kann den auch nicht starten. Hat jemand eine Idee ich find dazu auch nichts im Netz.

    Danke!

    Antworten
    • Oh, da war es gestern wohl etwas spät. Ich hatte nicht gelesen, dass du Probleme beim Starten vom Dienst hast.
      Versuche doch mal, ob du den Starttyp von „deaktiviert“ auf „manuell“ umstellen kannst. Mit der rechten Maustaste auf den Remoteregistrierungsdienst und den Starttyp ändern. Danach solltest du den Dienst ohne Probleme starten können.

      Antworten
  13. Hallo zusammen,

    ich habe mich ein wenig gewundert, das es kein SU für CU21 mehr gibt ;-) Ich wollte damals dem Mitigation aus dem Weg gehen. Aber MS hat es wieder mal ganz clever eingefädelt und 2 Wochen danach im April still und heimlich ein neues CU23 heraus gebracht. Naja nun muss ich wohl direkt auf das CU23 gehen. Meine Frage wäre ob das ohne weiteres funktioniert und was man speziell beachten muss. Hat jemand dort schon diesen Sprung gewagt? Ich habe eine DAG mit 2 Exchange 2016 auf Windows 2012R2 Server laufen.

    Vielen Dank im Voraus für Feedback :-)

    Antworten
    • Hallo,

      CU21 auf CU23 lief ohne Probleme bei der gleichen Server Konstellation (WinUpdates, 2x reboot) , vorher die Zertifikate auf EoL checken.

      Gruss

      Antworten
  14. Leider funktioniert nach dem CU23 die ECP und die OWA konsole nicht mehr. Error 503 nach Login. Kann ich das einfach nochmal drüber installieren?

    Antworten
  15. Ich musste das Setup mehrmals starten. Erst ist es bei Schritt 3 abgebrochen. Später bei Schritt 8
    In beiden Fällen war dann nötig – was ich leider nach dem ersten Neustart vergessen habe – den Antivirus zu stoppen.
    Danach lief es durch. 2,5 Stunden Aufwand
    Seither noch keine Probleme gemeldet und das HealthChecker Script spuckt keine neuen Probleme aus.

    Ich könnte jetzt auf Antivirus schimpfen oder auf das dumme Setup oder doch nochmal die Exclusions nach Best-Practice konfigurieren. Werde Letzteres tun.
    Dennoch hoffe ich, dass die nächsten Installationen wieder sanfter werden.

    Antworten
  16. Hallo zusammen,

    ich habe in meiner Testumgebung (MSDNAA Lizensiert), welche ich auch Privat produktiv verwende, ein Problem feststellen müssen.
    Ich rede hier von 5 Benutzern mit 0815 Mailverkehr 2 – 5 Mails am Tag.

    Exchange 2019 CU10 auf CU12 aktualisiert und anschließend den Sicherheitspatch von 05/2022 installiert.
    Jetzt musste ich feststellen das Outlook extrem Lange braucht, sowohl von Intern als auch von extern.
    Egal welches Endgerät mit Outlook.
    Smartphones funktionieren schnell wie gewohnt.
    Öffnen von Outlook dauert wenige Minuten, zwischen Postfächern in Outlook Browsen dauert mehrere Sekunden, teilweise meldet Windows das Outlook nicht reagiert.
    AMSI hatte ich testweise deaktivert, ändert hier nichts.
    MAPIoverHTTP hatte ich auch testweise deaktiviert.
    Besonderheit ist das ich ADFS für OWA und ECP verwende, das dürfte bei MAPIoverHTTP aber nicht das Problem sein.
    Virenscanner ist der Windows Defender.
    Meine gesamte Umgebung ist Stand 22.05.2022 gepatcht.

    Eventlogs sagen nichts aus.
    Ich weiß von einem Kollegen, das es wohl auch einen Kunden von uns betrifft, welcher Letze Woche das Update eingespielt hat.
    In Punkto Performance war das System immer normal.
    Die CPU last des Exchange Servers ist während des Problems bei ca. 2 – 5% , RAM ca. 35% ausgelastet, Festplattenwarteschlange liegt bei 0,01 – 0,05.
    DB Größe 9GB

    Recherche zu dem Problem hat leider nicht viel ergeben, evtl. noch zu frisch.

    MFG Rudi , zur zeit sehr Ratlos.

    Antworten
    • Hallo Rudi,
      Endlich! Endlich jemand der das gleiche Problem hat wie wir.
      Exchange 2016, CU23 und dann Sec Update über Windows Update (derjenige wusste von den Problemen und dem PrepareAllDomains nichts) – danach traten die Probleme auf.
      Sec Update, sowie CU23 wurden erneut installiert – diesesmal via elevated command prompt und gefolgt von dem Befehl für die domainvorbereitung. Keine Verbesserung. Exchange ist und war Hardwaremässig nur stark ausgelastet. Keine Auffälligkeiten im Eventlog.
      Habe den Hinweis erhalten das man das Sec Update auch auf den DCs unbedingt manual via elevated shell installieren soll (war vorher auch via WindowsUpdate erfolgt)
      – leider keine Verbesserung. Bin momentan echt am Verzweifeln:(

      Antworten
      • ## Comment SPAM Protection: Shield Security marked this comment as „Pending Moderation“. Grund: Menschlicher SPAM-Filter hat „rhttp“ in „comment_content“ gefunden ##
        Hi,

        das Problem besteht weiter hin, ich habe MAPIoverHTTP mit Kerberos global deaktiviert, und musste zusätzlich die Postfächer in Outlook neu einbinden, damit Outlook auf RPCoverHTTP und NTLM verwendet.

        es geht weiter im Forum:
        https://www.frankysweb.de/community/postid/5243/

        Antworten

Schreibe einen Kommentar