Neue Sicherheitsupdates für Exchange Server (November 2022)

Am Dienstag hat Microsoft neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Das Update schließt die ProxyNotShell Sicherheitslücke (CVE-2022-41040 und CVE-2022-41082), welche im September bekannt und auch aktiv ausgenutzt wurde.

Hier geht es direkt zum Download der Sicherheitsupdates:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU22 und CU23
  • Exchange Server 2019 CU11 und CU12

Microsoft empfiehlt das Update zügig zu installieren. Hier geht es zum Artikel auf dem Exchange Team Blog:

Die Sicherheitsupdates sind wie immer abhängig vom CU und kumulativ. Konkret heißt dies, wenn nicht das aktuell unterstützte CU auf dem Exchange Server installiert ist, muss vor der Installation des SUs, das entsprechend unterstützte CU installiert werden. Da auch die SUs kumulativ sind, müssen bereits vorher veröffentlichte SUs nicht extra installiert werden. Die Grafik von Microsoft verdeutlicht die Vorgehensweise bei der Installation der SUs:

Neue Sicherheitsupdates für Exchange Server (November 2022)
Quelle: Exchange Team Blog

Die manuell erstellten IIS Rewrite Rules können nach der Installation dieses Updates wieder entfernt werden.

25 Gedanken zu „Neue Sicherheitsupdates für Exchange Server (November 2022)“

  1. Wenn ein Kunde einen Exchange 2016 CU 22 mit den Oktober-SU hat, aber angeblich die „Additional Action“:
    “Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains” laut Mai-SU:
    https://support.microsoft.com/en-gb/topic/description-of-the-security-update-for-microsoft-exchange-server-2013-may-10-2022-kb5014260-701fda2b-7417-4ffa-979b-0b2bc8e93b1c
    nicht ausgeführt hat: Muß man die jetzt vor/nach dem November-SU-Einspielen nachholen oder ist das mit den nach-Mai-SUs automatisch geschehen? Denn in den November-SU-Infos kann ich nix dazu finden:
    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045

    Antworten
  2. Ich habe einen EX2016 mit CU23 und Sicherheitsupdate installiert. Wenn ich den HealthChecker drüber lasse, zeigt es mir weiterhin an, dass es noch offene CVE gibt: CVE-2022-24516, CVE-2022-21979, CVE-2022-21980, CVE-2022-24477, CVE-2022-30134
    Wie kann denn das sein?

    Antworten
    • Habe das gleiche Problem…
      Habe 1000 Neustarts, Checks, erneute Installationen & Checks gemacht…
      Das Problem bleibt bestehen…
      Ja, die Updates als elevated Admin/Prompt ausgeführt, Exchange 2019 CU12 ist nachgewiesen auch installiert…..

      Antworten
  3. Habe hier einen „Spezialfall“: Mein PC mit Outlook 2016 ist – aus bestimmten Gründen – nicht in der Domain, alle Netzwerk- und auch Exchange-Server-Zugriffe funktionierten aber bis zu dem November-Patch problemlos. Seitdem kann Outlook aber keine Verbindung mehr zum internen Exchange herstellen („der Informationsspeicher steht nicht zur Verfügung“), die Verbindung über´s Internet zu meinem externen Heim-Exchange-Server (selber Patchlevel) funktioniert problemlos. Jetzt habe ich den PC doch zur Domain hinzugefügt, dann funktioniert (mit dem Domainuser angemeldet) auch Outlook wieder.
    Mit meinem lokalen Profil von davor – das recht mühsam zu migrieren wäre – allerdings nach wie vor nicht.

    Antworten
    • hmmm….hat niemand eine Idee woran das liegen könnte? (sorry, ich habe ja auch vergessen explizit nach Hilfe zu fragen ;-)
      Oder kennt ihr ein verlässliches Tool oder eine Anleitung, mit der man (erprobterweise) ein lokales Konto in einen Domain-Account konvertieren kann? Der ProfileWizard von https://www.forensit.com/ ist mir beim Zuweisen der ACLs abgeschmiert und hat mir ein nicht mehr verwendbares System hinterlassen – zum Glück hatte ich vorher ein Image gezogen :-)

      Antworten
      • Hallo Walther,

        bei uns besteht diese Konstellation zwar nicht, ich habe es aber gerade mal nachgestellt. Bei einem Nicht-Domainuser tritt es bei uns auch auf, das „Problem“ konnte ich aber umgehen, indem ich in der „Hosts“ Datei (unter C:\Windows\System32\Drivers\etc\) des Clients manuell die DNS Einträge für Zugriff und Autodiscover auf die interne IP des Exchange umgebogen habe.
        Z.B.:
        192.168.1.10 mail.domain.de
        192.168.1.10 autodiscover.domain.de

        Evtl. hilft dir das ja weiter.

        Antworten
  4. Habe einen Exchange Server 2016 mit den neuesten CU`s und jetzt auch den neuesten Patch installiert (Automatisch über Windows Update)
    Soweit läuft auch alles, nur die Rewrite Rule ist noch hinterlegt (diese habe ich nicht manuell hinzugefügt)
    Ist das normal oder sollte die gelöscht sein?
    Kann ich die sonst ohne Probleme löschen oder sollte die erhalten bleiben?

    Antworten
  5. Hallo,
    tolle Leistung MS: anscheinend gibt es das Problem was ich vorher nur mit Ex2013 hatte (andere Postfächer mit Vollzugriff werden beim Outlookstart kurz (< 1 Min) angezeigt und "verschwinden" dann, wenn man sie nutzen will muss man diese explizit im Outlook-Profil eintragen) jetzt auch bei Ex2016. Da werden sich aber einige Kunden freuen wenn sich das flächendeckend bewahrheitet.
    Ich kann mir nicht vorstellen dass ich der Einzige bin der das so macht.
    Nach gefühlt 2 Monaten Zeit für Fix und Test wäre das mehr als blamabel.

    Antworten
    • Das mit den selbst einhängenden Fremdpostfächern und dann Verschwinden nach wenigen Sekunden inkl. den Verknüpfungen zu öffentlichen Ordnern hatte ich mit Exchangen 2019 und Outlook 2019 bei einem Kunden auch. Profil neu erstellen, Office Rep.Installation, Exchange Updates – alles war nicht zielführend.
      Einzige Problemlösung war eine Neuinstallation von Office nach vorherigem Deinstallieren mit dem offiziellen MS Removaltool für Office von MS. Dann noch die Office Updates eingespielt und die Ordner bleiben wieder dauerhaft da. Änderung z.B. am Automount und an den Vollzugriffsberechtigungen der Fremdpostfächer habe ich niemals gemacht…

      Antworten
  6. ist bei mir auf nem Server2012 R12 hängen geblieben.
    es hatte die Dienste alle deaktiviert und konnte dann nicht weiter installiert werden. musste erst raussuchen welche Dienste das alles waren.

    Antworten

Schreibe einen Kommentar