Sicherheitsupdates für Exchange Server (November 2021)

Microsoft hat neue Sicherheitsupdates für alle unterstützen Exchange Server (2013, 2016, 2019) veröffentlicht. Microsoft erwähnt insbesondere die Schwachstelle CVE-2021-42321 (Remote Code Execution) in Exchange 2016 und 2019, welche bei einer begrenzten Anzahl gezielter Angriffe bereits ausgenutzt wird. Vermutlich wird die Anzahl der Angriffe zunehmen, da jetzt durch das Update die Schwachstelle möglicherweise einfacher aufzuspüren ist. In der FAQ findet sich ausserdem ein Befehl mit dem festgestellt werden kann, ob die Schwachstelle CVE-2021-42321 bereits ausgenutzt wurde:

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

Wenn der Befehl oben Treffer liefert, ist es ein Indiz für einen erfolgreichen Angriff.

Die Updates können hier runtergeladen werden:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU21 und CU22
  • Exchange Server 2019 CU10 und CU11

Hier findet sich der entsprechende KB Eintrag zu den Updates:

Hier ist noch der entsprechende Artikel aus dem Microsoft Exchange Server Team Blog:

Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:

Sicherheitsupdates

Das Update kann natürlich auch via WSUS (Achtung: Da gibt es ein Problem mit Exchange 2013), Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme:

41 Gedanken zu „Sicherheitsupdates für Exchange Server (November 2021)“

  1. Das Update ist bei mir hängen geblieben, Error geworfen und nach einem Neustart wirft die Konsole dieses hier:

    Add-PSSnapin : Cannot load Windows PowerShell snap-in Microsoft.Exchange.Management.PowerShell.SnapIn because of the following error: The type initializer for ‚Microsoft.Exchange.Data.Directory.Globals‘ threw an exception.

    Exchange 2019 CU11

    Antworten
    • Im Blog von MS steht:

      „We are aware of an issue that Exchange 2013 CU23 customers who use Windows Server Update Services (WSUS) to download Security Updates might see an error with the installation of November SU (error 0x80070643 in the event log, event ID 20). We are working on resolving this issue ASAP.“

      Antworten
  2. Moin Moin,
    ich habe eine kurze Verständnisfrage:
    Ist in diesem Sicherheitsupdate auch das Sicherheitsupdate aus dem Oktober enthalten (KB5007012)?
    Falls nicht, kann bzw. muss ich immer noch das KB5007012 nachträglich installieren wenn das neuste KB5007409 gestern auf dem Exchange2016 Server installiert wurde?

    Vielen Dank im Voraus

    Gruß Rene

    Antworten
  3. Hat das noch jemand, das das Update in der GUI (Programme und Features – Installierte Updates) als installiert angezeigt wird, aber mit get-hotfix unter der PowerShell bzw. wmic qfe in der Eingabeaufforderung nicht ?

    Antworten
    • Der HealthChecker meldet, das es installiert ist.

      Version: Exchange 2019 CU11
      Build Number: 15.02.0986.014
      Exchange IU or Security Hotfix Detected.
      Security Update for Exchange Server 2019 Cumulative Update 11 (KB5007012)
      Security Update for Exchange Server 2019 Cumulative Update 11 (KB5007409)

      Dann wird das wohl hoffentlich auch so sein :-)

      Antworten
  4. Grüße…
    Gibt es kein neues Sicherheitsupdate für Exchange Server 2016 CU20?
    Oder braucht man für die CU20 keins?

    Wir haben noch nicht auf die CU21 bzw. CU22 aktualisiert, weil uns das hier gestört hat:
    Fehler „E-Mail kann nicht gesendet werden – Ihr Postfach ist voll“, wenn Sie iPhone-Mail verwenden, um sehr große Anlagen zu senden (KB5004622)
    https://support.microsoft.com/de-de/topic/fehler-e-mail-kann-nicht-gesendet-werden-ihr-postfach-ist-voll-wenn-sie-iphone-mail-verwenden-um-sehr-gro%C3%9Fe-anlagen-zu-senden-kb5004622-eb95555f-80fd-47b4-bc6f-5c2c4fc4fea0

    Wurde der Bug gefixxt?

    Antworten
    • Es werden immer NUR DIE LETZTEN ZWEI CUs mit Sicherheits-Updates unterstützt – in diesem Fall also NUR CU21 und CU22.

      Daher wirst Du auf einen der beiden neuen CUs updaten müssen, um die November-Sicherheits-Updates (auch die Oktober-Sicherheits-Updates, welche in den November-Updates mit enthalten sind) zu bekommen!

      Wir sind damals direkt von CU20 auf CU22 gegangen (mit zwei 2016er Servern), hat bei beiden ohne Probleme wunderbar funktioniert.

      Antworten
        • Hallo,
          das Problem mit den iPhones hatten (haben) wir auch.
          Es scheint aber weniger ein Bug als eine falsche Fehlermeldung bei Anhängen > 10MB (oder was erlaubt ist) zu sein.

        • Nein steht beim cu22 immer noch als Problem. Aber wie groß müssen die attachments denn sein? Bei mir hat sich diesbezüglich noch niemand gemeldet. :)

        • Bei uns scheint die Größe der funktionierenden Anhänge der zu entsprechen die konfiguriert ist. Es kommt wohl nur die falsche Fehlermeldung, statt „Anhang ist zu groß“ kommt eben „Das Postfach ist voll“

  5. Hallo,
    leider bekomme ich nach den Installation des Updates einen Fehler beim verteilen der Datenbanken auf die Exchange Server, dass der Ordner IgnordLogs beschädigt ist. Wie bekomme ich die Datei gelöscht?
    Fehlercode: 0x80070570

    Antworten
  6. Hallo,
    habe hier einen MX2016 CU21 und hier gerade die letzte SU installiert.
    Das SU meinte nach der Installation das bitte neu gestartet werden sollte, was ich auch getan habe.
    Nun warte ich schon seit mehr als 90min. mit der Meldung „Windows wird vorbereitet, bittet warten Sie“,
    das der endlich nun durchstartet. Im Hintergrund scheinen die MX Dienste noch zu laufen.

    Was macht der hier so lange ?

    Antworten
    • Hi Stefan,

      dieses Phänomen hatte ich auf einem Windows Server 2016 auch ein paar Mal. Meistens ist er nach ca. 45 Minuten dann neu gestartet. Das liegt wohl teilweise an einem „hängenden“ Windows Modules Installer (ist hier ganz gut beschrieben: https://www.tech-faq.net/windows-wird-vorbereitet-schalten-sie-den-computer-nicht-aus/).
      Ich konnte das Problem mittlerweile „lösen“, indem ich den Server vor der Installation der Updates einmal neu starten lasse.
      Evtl. hängt es auch mit einem ausstehenden unterdrückten Neustart zusammen. Du könntest beim nächsten Mal das healthchecker script vorher laufen lassen, das zeigt dir das in der Auswertung an (das Script hat Franky vor einiger Zeit ausführlich beschrieben: https://www.frankysweb.de/exchangehealthchecker-script-um-konfigurationsprobleme-zu-ermitteln/).

      Antworten
    • 90 min ist schon lang und du kannst ja mal schauen ob der Dienst „Windows Modules Installer“ (TrustedInstaller) beim Status „wird beendet“ steht.
      Ich installiere immer als erstes die Windows Updates ohne das SecUpdate und starte den Server neu.
      Erst danach installiere ich das SecUpdate manuell mit einer als Administraor gestarteten CMD Konsole.

      Im Normalfall würde ich auch sagen lass den Server in Ruhe neu starten und schaue wenn möglich auf die iLO oder vSphere Konsole um zu sehen wo Er hängt. Sofern Updates installiert wurden kann der Neustart schon mal länger dauern aber bei einem SecUpdate sollte das nicht so lange dauern.

      Wenn du PSEXEC im Einsatz hast kannst du dich per PSEXEC auf das System schalten und die aktuelle PID vom Trusted Installer auslesen. Danach mittels Taskkill und der erkannten PID (hier xxx als Platzhalter) den Prozess hart beenden.
      Benutzung auf eigene Gefahr ;-)

      psexec
      sc queryex trustedinstaller
      taskkill /PID xxx /F

      Antworten
  7. Moin Leute, habe das Update beim Kunden unter Exchange 2013 mit passendem CU erfolgreich eingespielt. Alles in allem ca. 1h bis das Update eingespielt war und der Exchange wieder lief. Kurz vor Ende, als das Update fast durchgelaufen war, wurde es nochmal spannend, da sich parallel zum Fortschritts-Fenster eine Powershell-Box öffnete, in der aber weiter nichts passierte, aus einem blinkenden Cursor. Vermutlich lief etwas im Hingerund mit der Option „silent“ ab. Ich habe dem Ganzen einfach Zeit gegeben, ohne die Box einfach wegzuklicken. Danach war alles gut.

    Antworten
  8. Dieses CU war bei uns ein etwas härterer Ritt.

    Erst musste es mehrfach gestartet werden weil einige web.config-Dateien bei der Installation nicht richtig geschrieben werden konnten, dann liefen autodiscover und oab nicht mehr. Die web.config-Dateien mussten aus der Sicherung wiederhergestellt werden.

    Dazu kam dann nach der Installation noch eine extreme Systembelastung durch das AMSI im Zusammenspiel mit Sophos. Hier hat als vorübergehende Maßnahme nur eine Abschaltung geholfen – mal schauen, wann Sophos mit einem Patch kommt.

    Hoffentlich nur eine Verkettung ungünstiger Umstände…

    Antworten
    • Hallo Peter,
      nicht nur bei euch. Wir haben heute das gleiche Problem feststellen müssen.
      Danke für den Kommentar. Hat uns auf die richtige Fährte geführt.
      CU22 Update am Sonntag eingespielt. Zuerst kam eine Fehlermeldung Fehler:

      Der folgende Fehler wurde generiert, als „$error.Clear();
      set-InstallPathInAppConfig -ConfigFileRelativePath „FrontEnd\HttpProxy\autodiscover“ -ConfigFileName web.config

      “ ausgeführt wurde: „System.UnauthorizedAccessException: Der Zugriff auf den Pfad „\FrontEnd\HttpProxy\autodiscover\web.config“ wurde verweigert.

      Dann haben dir den Defender deaktiviert und das CU Update nochmal neu angestartet.
      Da kam dann die Meldung: „Unvollständige Installation ermittelt“
      „Setup hat festgestellt, dass eine frühere Installation von Exchange auf diesem Computer nicht erfolgreich abgeschlossen wurde. Das Setup versucht jetzt, diese Installation abzuschließen.“

      Lief danach auch erfolgreich durch und in der PowerShell bzw. unter Systemsteuerung Programme wurde korrekt Microsoft Exchange Server 2016 Cumulative Update 22 angezeigt.

      Outlook lief, OWA lief, ActiveSync… alles gut.

      Gestern (Montag) keine Auffälligkeiten.
      Heute dann bei einer Kollegin ein Problem mit Teams/Plug-In/Outlook. Wollen ein neues Outlook Profil erstellen und bekommen keine Daten per Autodiscovery.
      Weiterer Test in der IT. Auch hier kommen keine Daten mehr ins Outlook.

      Haben dann geforscht, gesucht und gemacht und am Ende hatten wir auch das Problem, dass die \FrontEnd\HttpProxy\autodiscover\web.config zerschossen war, bzw. die hälfte an Infos in der Datei fehlten.
      Dachten erst die web.config.bak schafft Abhilfe, aber das waren ja noch weniger Informationen drin.

      Haben uns jetzt mit Veeam aus dem Backup von gestern die web.config geholt und jetzt läuft wieder alles. *puh*
      OWA, ECP, OAB usw. waren nicht betroffen. Da lief alles.

      „Schönes“ letztes CU für Exchange 2016 :)

      Antworten
  9. Hallo,

    ich habe eben per Administrativen Eingabeaufforderung das Update KB5007409 für CU22 installiert.
    Bis jetzt keine Probleme zu erkennen. Funktioniert soweit alles.

    Windows Server 2016
    Exchange 2016 CU22

    Antworten
  10. CU 22 auf zwei EX 2016 stressfrei installiert – Basis war jeweils CU20.
    Nachdem CU22 noch KB5007409 hinterher – funktioniert soweit alles.

    Beim CU22 Updates hat es -wie eigentlich meistens- die angepassten ActiveSync IIS Einstellungen zurückgesetzt.
    (Speziell die AttachmentSizes für ActiveSync geschichten..)

    Ein 5 Zeiler behebt das dann direkt wieder

    %windir%\system32\inetsrv\appcmd.exe set config „Default Web Site/Microsoft-Server-ActiveSync/“ -section:system.webServer/security/requestFiltering /requestLimits.maxAllowedContentLength:41838182
    %windir%\system32\inetsrv\appcmd.exe set config „Default Web Site/Microsoft-Server-ActiveSync/“ -section:system.web/httpRuntime /maxRequestLength:40960
    %windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:system.webServer/security/requestFiltering /requestLimits.maxAllowedContentLength:41838182
    %windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:system.web/httpRuntime /maxRequestLength:40960
    %windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:appSettings /[key=’MaxDocumentDataSize‘].value:41838182
    iisreset

    Antworten
  11. Hallo,
    leider habe ich nach der Installation vom Update „Exchange Server 2016 CU22 Nov21SU“ ein Problem mit der Schnellsuche im Outlook. Diese bringt keine Ergebnisse mehr, im Vergleich zur „Erweiterten Suche“, die noch alle Ergebnisse liefert.
    Ist das Problem bekannt bzw. noch jemand von Euch betroffen?
    Grüße

    Antworten
  12. Hallo,
    ich habe das Update (Exchange Server 2019 CU11 (KB5007409)) bereits zweimal eingespielt, hat problemlos geklappt, Neustart – alles funktioniert. In Windows Programme zeigt Exchange die Version 15.2.986.14 an. Wenn ich den aktuellsten Healthchecker ausführe, dann zeigt er mir an, dass ich nur auf Version 15.02.0986.009 bin und vulnerable für:
    CVE-2021-42305
    CVE-2021-41349
    CVE-2021-42321

    Was stimmt? Bin für jeden Hinweis dankbar

    Antworten

Schreibe einen Kommentar