Neue Sicherheitsupdates für Exchange Server (Oktober 2021)

Microsoft hat neue Sicherheitsupdates für Exchange Server 2013, 2016 und 209 veröffentlicht. Diese drei Sicherheitslücken werden in Exchange Server 2016 und 2019 behoben:

Bei CVE-2021-41348 handelt es sich um eine Schwachstelle mit dem Schweregrad „Hoch“, welche die Ausweitung von Berechtigungen ermöglicht.

In Exchange 2013 wird die folgende Schwachstelle behoben:

CVE-2021-26427 ist ebenfalls mit dem Schweregrad „Hoch“ eingestuft und ermöglicht Remote Code Execution. Die verfügbaren Updates sollten daher zeitnah installiert werden. Hier geht es direkt zu den Downloads der Updates:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU21 und CU22
  • Exchange Server 2019 CU10 und CU11

Bisher sind noch keine aktiven Exploits bekannt, dies könnte sich mit den Veröffentlichung der Updates aber ändern.

Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:

Sicherheitsupdates

Bevor die Updates installiert werden, sollte man auch noch einen Blick auf die bekannten Probleme werfen:

Das Update kann natürlich auch via WSUS, Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme:

27 Gedanken zu „Neue Sicherheitsupdates für Exchange Server (Oktober 2021)“

  1. Moin
    Beim CVE-2021-26427 steht bei „ This vulnerability’s attack is limited at the protocol level to a logically adjacent topology. This means it cannot simply be done across the internet, but instead needs something specific tied to the target“.

    Verstehe ich das richtig dass, das nicht über owa von extern passieren kann, sondern nur wenn ich schon ein Angreifer im lokalen Netz habe?

    Gruß Max

    Antworten
  2. Ich habe das Sicherheitsupdate installiert Exchange Server 20216 CU22 ohne Fehler, wurde auch als erfolgreich installiert angezeigt. OWA und das Exchange Admin Center kamen folgende Fehlermeldungen. Ihre Anforderung konnte nicht abgeschlossen werden. HTTP-Statuscode: 500. und X-OWA-Error System.Web.HttpUnhandledException. Fehlerbehebung. Nach dieser Anleitung funktioniert wieder alles. https://www.frankysweb.de/exchange-2016-serverfehler-in-anwendung-owa-und-oder-ecp/

    Vielen Dank!

    Antworten
  3. Hi Franky
    Sehe ich es richtig, dass es für alles nur ein KB gibt? KB5007012?
    Exchange 2019, CU11

    Also für alle oben aufgeführten Updates führt der Link schlussendlich zu KB5007012. Oder mache ich was falsch?

    Gruss

    Antworten
  4. Mal eine Frage…
    Macht es Sinn, dass ECP (wenn es mit ‚Set-ECPVirtualDirectory -Identity „CAS01\ecp (default web site)“ -AdminEnabled $false‘ ausgeschaltet wurde) vor den CUs und SUs wieder einzuschalten? Kommen daher vielleicht die Probleme mit den Updates, dass etwas bricht?

    Antworten
  5. Installiert auf Exchange 2016 CU22 (DAG) mit administrativer CMD Konsole und vorherigen Windows Updates und Neustart.
    Bisher keine Probleme :-)

    MfG Paul

    Antworten
  6. Falls sich jemand wundert: Bei mir wurde das CU11 Update auf einem Exchange 2019 im Updateverlauf als „CU10 (KB5007012)“ angezeigt …. KB5007012 ist ja definitiv CU11. Im Verlauf wurde früher auch schon als installiert abgezeigt „CU10 (KB5004780) … Würde sagen der Praktikant bei MS hat das vergessen was umzubennen, kann bei der Häufigkeit der CUs ja mal vorkommen ;-)

    Antworten
  7. Hallo zusammen,
    ich habe gestern das Security-Update per Admin-CMD installiert. In der Systemsteuerung wird es auch angezeigt. Die Exchange-Buildnumber entspricht aber immer noch dem CU22 ohne das Security-Update (15.1.2375.7 statt 15.1.2375.12). Ist das Security-Update damit richtig installiert?
    Schöne Grüße
    Florian

    Antworten
    • Bei mir ist es genau das selbe. SU installiert und Buildnumber bleibt bei 15.1.2375.7
      Vielleicht gibt es ja noch andere mit dem „Problem“ oder es ist ein Feature :-)

      Gruß Michael

      Antworten
    • Hallo Thinky,
      danke für den Hinweis! Der Health-Checker zeigt tatsächlich die richtige/erwartete Buildnummer 15.1.2375.12 an.
      Schöne Grüße
      Florian

      Antworten
  8. Kann es sein das aktuell Exchange Server ohne das Oktober Update zum SPAM Versand genutzt werden? Ich habe heute eine Spam Mail von einem Lieferanten erhalten die Definitiv von seinem Mailserver kam. Bisher habe ich nur folgenden Link gefunden der so etwas beschreibt.
    https://www.itpro.co.uk/security/ransomware/361417/microsoft-exchange-servers-distribute-squirrelwaffle-malware
    Die Mail die ich erhalten habe war eine Antwort auf eine alte Korrespondenz und hatte zwei Links eingefügt.

    Antworten
  9. Ich hab Security Update For Exchange Server 2016 CU22 (KB5007012) vor ca. einem Monat installiert und vorgestern das und Security Update For Exchange Server 2016 CU22 (KB5007409).
    Im Updateverlauf werden sie als „Erfolgreich installiert …“ angezeigt.
    Get-Hotfix zeigt keines von beiden.
    Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion fördert „AdminDisplayVersion : Version 15.1 (Build 2375.7)“ zu Tage.
    Das HealthChecker-Skript gibt erschreckenderweise Exchange: Exchange 2016 CU18 Build Number: 15.1.2375.7 aus und
    Get-Command Exsetup.exe | ForEach {$_.FileversionInfo} –> 15.01.2375.017

    Wer hat denn da jetzt recht?

    Antworten
  10. Hallo,

    aktuell haben wir einen 2012 R2 mit Exchange 2016 Version 15.1 (Build 2176.2) CU19 im Einsatz.

    Kann ich CU22 direkt installieren oder muss ich einen Zwischenschritt einlegen?

    Vielen Dank für eure Hilfe.

    Gruß
    Tim

    Antworten

Schreibe einen Kommentar