Neue Sicherheitsupdates für Exchange Server (November 2022)

Am Dienstag hat Microsoft neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Das Update schließt die ProxyNotShell Sicherheitslücke (CVE-2022-41040 und CVE-2022-41082), welche im September bekannt und auch aktiv ausgenutzt wurde.

Hier geht es direkt zum Download der Sicherheitsupdates:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU22 und CU23
  • Exchange Server 2019 CU11 und CU12

Microsoft empfiehlt das Update zügig zu installieren. Hier geht es zum Artikel auf dem Exchange Team Blog:

Die Sicherheitsupdates sind wie immer abhängig vom CU und kumulativ. Konkret heißt dies, wenn nicht das aktuell unterstützte CU auf dem Exchange Server installiert ist, muss vor der Installation des SUs, das entsprechend unterstützte CU installiert werden. Da auch die SUs kumulativ sind, müssen bereits vorher veröffentlichte SUs nicht extra installiert werden. Die Grafik von Microsoft verdeutlicht die Vorgehensweise bei der Installation der SUs:

Neue Sicherheitsupdates für Exchange Server (November 2022)
Quelle: Exchange Team Blog

Die manuell erstellten IIS Rewrite Rules können nach der Installation dieses Updates wieder entfernt werden.

21 Gedanken zu „Neue Sicherheitsupdates für Exchange Server (November 2022)“

  1. ist bei mir auf nem Server2012 R12 hängen geblieben.
    es hatte die Dienste alle deaktiviert und konnte dann nicht weiter installiert werden. musste erst raussuchen welche Dienste das alles waren.

    Antworten
  2. Installation ebenfalls problemlos unter Exchange 2016 CU 23 auf Server 2012R2.
    Nach erstem Kurztest: Alles scheint einwandfrei zu funktionieren

    Antworten
  3. Hallo,
    tolle Leistung MS: anscheinend gibt es das Problem was ich vorher nur mit Ex2013 hatte (andere Postfächer mit Vollzugriff werden beim Outlookstart kurz (< 1 Min) angezeigt und "verschwinden" dann, wenn man sie nutzen will muss man diese explizit im Outlook-Profil eintragen) jetzt auch bei Ex2016. Da werden sich aber einige Kunden freuen wenn sich das flächendeckend bewahrheitet.
    Ich kann mir nicht vorstellen dass ich der Einzige bin der das so macht.
    Nach gefühlt 2 Monaten Zeit für Fix und Test wäre das mehr als blamabel.

    Antworten
  4. Habe einen Exchange Server 2016 mit den neuesten CU`s und jetzt auch den neuesten Patch installiert (Automatisch über Windows Update)
    Soweit läuft auch alles, nur die Rewrite Rule ist noch hinterlegt (diese habe ich nicht manuell hinzugefügt)
    Ist das normal oder sollte die gelöscht sein?
    Kann ich die sonst ohne Probleme löschen oder sollte die erhalten bleiben?

    Antworten
  5. Habe hier einen „Spezialfall“: Mein PC mit Outlook 2016 ist – aus bestimmten Gründen – nicht in der Domain, alle Netzwerk- und auch Exchange-Server-Zugriffe funktionierten aber bis zu dem November-Patch problemlos. Seitdem kann Outlook aber keine Verbindung mehr zum internen Exchange herstellen („der Informationsspeicher steht nicht zur Verfügung“), die Verbindung über´s Internet zu meinem externen Heim-Exchange-Server (selber Patchlevel) funktioniert problemlos. Jetzt habe ich den PC doch zur Domain hinzugefügt, dann funktioniert (mit dem Domainuser angemeldet) auch Outlook wieder.
    Mit meinem lokalen Profil von davor – das recht mühsam zu migrieren wäre – allerdings nach wie vor nicht.

    Antworten
    • hmmm….hat niemand eine Idee woran das liegen könnte? (sorry, ich habe ja auch vergessen explizit nach Hilfe zu fragen ;-)
      Oder kennt ihr ein verlässliches Tool oder eine Anleitung, mit der man (erprobterweise) ein lokales Konto in einen Domain-Account konvertieren kann? Der ProfileWizard von https://www.forensit.com/ ist mir beim Zuweisen der ACLs abgeschmiert und hat mir ein nicht mehr verwendbares System hinterlassen – zum Glück hatte ich vorher ein Image gezogen :-)

      Antworten
      • Hallo Walther,

        bei uns besteht diese Konstellation zwar nicht, ich habe es aber gerade mal nachgestellt. Bei einem Nicht-Domainuser tritt es bei uns auch auf, das „Problem“ konnte ich aber umgehen, indem ich in der „Hosts“ Datei (unter C:\Windows\System32\Drivers\etc\) des Clients manuell die DNS Einträge für Zugriff und Autodiscover auf die interne IP des Exchange umgebogen habe.
        Z.B.:
        192.168.1.10 mail.domain.de
        192.168.1.10 autodiscover.domain.de

        Evtl. hilft dir das ja weiter.

        Antworten
  6. Patch ist auch drauf. EX 2016 CU23
    Das selbst erstelle IIS Reweite habe ich raus gelöscht.
    Was ist mit der von M$ automatisch eingebauten?

    Antworten
  7. Ich habe einen EX2016 mit CU23 und Sicherheitsupdate installiert. Wenn ich den HealthChecker drüber lasse, zeigt es mir weiterhin an, dass es noch offene CVE gibt: CVE-2022-24516, CVE-2022-21979, CVE-2022-21980, CVE-2022-24477, CVE-2022-30134
    Wie kann denn das sein?

    Antworten

Schreibe einen Kommentar