Neues Update für Exchange Server 2016 / 2019 (CVE-2020-0903)

Microsoft hat gestern ein neues Sicherheitsupdate für Exchange Server 2016 und 2019 veröffentlicht. Das Update schließt eine als “Wichtig” eingestufte Schwachstelle.

Beschreibung der Schwachstelle:

A cross-site-scripting (XSS) vulnerability exists when Microsoft Exchange Server does not properly sanitize a specially crafted web request to an affected Exchange server. An authenticated attacker could exploit the vulnerability by sending a specially crafted request to an affected server.

The attacker who successfully exploited the vulnerability could then perform cross-site scripting attacks on affected systems and run script in the security context of the current user. The attacks could allow the attacker to read content that the attacker is not authorized to read, use the victim’s identity to take actions on the Exchange server on behalf of the user, such as change permissions and delete content, and inject malicious content in the browser of the user.

The security update addresses the vulnerability by helping to ensure that Exchange Server properly sanitizes web requests.

Quelle: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0903

Bisher ist zwar kein Exploit für die Schwachstelle bekannt, dies hat jedoch bei der letzten Sicherheitslücke auch nicht lange auf sich warten lassen. Das Update sollte daher zeitnah installierst werden.

Hier geht es direkt zum Download der Updates:

Hier gibt es noch eine Artikel mit bekannten Problemen mit diesem Update, dieser Artikel sollte unbedingt vor der Installation gelesen werden:

Das Sicherheitsupdate wird auch bereits via Windows Update verteilt und kann somit auch via WSUS installiert werden. Zuvor sollte das Update allerdings getestet werden. Das letzte Update sorgte scheinbar in manchen Umgebungen für Probleme.

Neues Update für Exchange Server 2016 und 2019 (CVE-2020-0903)

10 Kommentare zu “Neues Update für Exchange Server 2016 / 2019 (CVE-2020-0903)”

  1. Guten Tag,

    Bei einem Kunden wurde dieses Update über die Windows-Updates installiert und ist Fehlgeschlagen.
    Seitdem lassen sich diverse Exchange-Dienste nicht mehr starten.
    Die Exchange-Powershell ebenfalls nicht.

    Wenn ich versuche das Update, wie bei Microsoft beschrieben, über die CMD als Administrator zu starten erhalte ich folgende Fehlermeldung:

    „The user who’s currently logged on doesn’t have suffient permissions to install this package…….“

    Der Benutzer ist Domänen-Admin. Die Installation des Exchange wurde mit dem gleichen Benutzer durchgeführt.

    Hat jemand eine Idee wie ich das Update installieren kann?

    Grüße
    Peter

  2. Hallo,

    habe eine Verständnisfrage.
    Ich habe aktuell CU14 (Ex2016) installiert (Stand 01.03.2020). Sind die neuen Sicherheitsupdates in der obigen CU14 enthalten? Oder wie paketiert MS das grundsätzlich?

    Habe ich es richtig verstanden, dass alle neuen Updates in die entsprechenden CU’s gepackt werden.

    Vielen Dank.

  3. Moin,

    Update installiert. Danach kein Zugriff mehr via OWA möglich (500 unexpected error).

    Update wieder feininstalliert. Neustart. OWA Funktioniert wieder.

    Grüße

  4. Ich habe den Standalone Patch gerade auf einen unserer Exchange 2016 Cu15 Server installiert.
    Danach wurde dieser Server im Kemp Loadbalancer rot angezeigt.
    Der Loadbalancer macht einen check ob der dienst auf dem server läuft:
    server/owa/healthcheck.htm
    das kann ich normalerweise auch mit jedem Exchange-Server von Hand machen
    https://EX1/owa/healthcheck.htm
    Ergebnis:
    200OK
    EX1

    Nach dem Security Update geht das nicht mehr.
    Nach der deinstallation aber auch nicht – ich spiele nun das Backup ein.

    Was mich auch noch stutzig gemacht hat. Jedes Update (CU oder Security Patch) legt ein neues Unterverzeichnis im Ordner:
    c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\ an
    in diesem Fall:

    c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\15.1.1913.10
    Darin sind normalerweise mehrere Unterverzeichnisse (automation, debug, ext, flightconfig…), diesmal jedoch nur ein unterverzeichnis: ext

  5. Hallo,

    ich habe den Patch seit dem Vormittag auf dem ersten von zwei Server installiert und noch keine Probleme festgestellt.

    Intern läuft unser Exchange über KEMP, Extern über Netscaler.

    Die Unterverzeichnise in c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\15.1.1913.10
    sind bei mir vollständig.

    LG

    1. Heute habe ich es über Windows Update versucht, Unterverzeichnisse in c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\15.1.1913.10 sind jetzt vollständig.
      Alle Dienste sind gestartet. Keine Fehlermeldung bei der Installation.
      Bin jetzt am 4. Server und alles läuft rund

  6. Guten Morgen,

    habe das Update soeben über WSUS installieren lassen, alles lief soweit sauber durch. Der Updatestatus wurde leider mit einem 0x8024002 als fehlgeschlagen quittiert aber im Updateverlauf wird „Security Update For Exchange Server 2016 CU15 (KB4540123)“ als „Erfolgreich installiert am 13.03.2020“ angezeigt.

    Alle Dienst laufen und die Version passt auch:

    [PS] C:\Windows\system32>Get-Command Exsetup.exe | ForEach {$_.FileversionInfo}
    ProductVersion FileVersion FileName
    ————– ———– ——–
    15.01.1913.010 15.01.1913.010 D:\Exchange Server\bin\ExSetup.exe

    Gruß

  7. Exchange 2016 CU 15 mit letzten Patchstand
    das Update normal über Windows Update erfolgreich eingespielt.

    Alle Dienste starten normal
    OWA Zugriff funktioniert auch.

    Gruß

  8. Positive Meldungen sollten ja auch immer sein, da sich meist nur die melden, die Probleme beim Update haben:
    In unserem Fall ist das Update per WSUS auch ohne Probleme durchgelaufen. Dienste und Verzeichnisse sind vorhanden bzw. gestartet nach dem restart.

    Gruß

  9. 2x Exchange 2016 DAG + 1x Witness und vorgeschaltetem Loadbalancer
    Auch bei uns lies sich das Update ohne Probleme installieren. Da ich vor Einspielen eines Updates sowieso 1 System in Maintenance versetze, werden die Maschinen danach grundlegend eh rebootet. Auch hier haben alle Dienste sauber neu gestartet.

    Alles i.O. bei uns.

    Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.