Sicherheitsupdates für Exchange Server (Juli 2021)

Update[English]Microsoft hat zum 13. Juli 2021 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Juli-Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden  wurden, zu schließen. Die Updates gelten für die nachfolgend genannten Exchange Server On-Premises-Installationen.

Microsoft hat den Techcommunity-Beitrag Released: July 2021 Exchange Server Security Update mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Updates für folgende Exchange-Server-Versionen zur Verfügung.

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU20 and CU21
  • Exchange Server 2019 CU9 and CU10

Diese Schwachstellen betreffen On-Premises Microsoft Exchange Server sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Installation zu schützen. Auf dieser Seite hat jemand die nachfolgend adressierten sechs Schwachstellen, deren Risiko teilweise als hoch eingestuft wird, zusammen getragen.

  • CVE-2021-31196: Code-Injection, Risiko low, angreifbar: Microsoft Exchange Server 2013 Cumulative Update 23
  • CVE-2021-34470: Permissions, Privileges, and Access Controls, Risiko low, angreifbar: Exchange Server: 2013 Cumulative Update 23, 2016 Cumulative Update 21, 2019 Cumulative Update 10
  • CVE-2021-33768: Permissions, Privileges, and Access Controls, Risiko low, angreifbar: Microsoft Exchange Server: 2016 Cumulative Update 20, 2016 Cumulative Update 21, 2019 Cumulative Update 9, 2019 Cumulative Update 10
  • CVE-2021-34473: Code-Injection, Risiko high, angreifbar: Microsoft Exchange Server: 2013 Cumulative Update 23
    CVE-2021-34523: Permissions, Privileges, and Access Controls, Risiko low, angreifbar: Microsoft Exchange Server: 2013 Cumulative Update 23
    CVE-2021-31206: Code-Injection, Risiko high, angreifbar: Microsoft Exchange Server: 2013 Cumulative Update 23

Die CVEs sind auch in diesem Blog-Beitrag der Zero-Day-Initiative aufgeführt. Auf dieser Seite finden sich aber detailliertere Erläuterungen zu den jeweiligen Schwachstellen. Sofern die Sicherheitsupdates manuell installiert werden,ist dieser Vorgang aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf.

Der Techcommunity-Beitrag listet Maßnahmen auf, die zur Verbesserung der Sicherheit wegen CVE-2021-34470 zusätzlich zur Anwendung der Sicherheitsupdates vom Juli 2021 durchgeführt werden sollten. Zudem hat Microsoft eine Liste bekannter Probleme im Zusammenhang mit diesen Sicherheitsupdates veröffentlicht.

Die im Blog-Beitrag Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration erwähnten Probleme mit Fremdvirenscannern sind im Update nicht adressiert, da Microsoft gemäß den Kommentaren unterhalb des Beitrags von diesen Fehlern nichts bekannt war. Ob die in diesem Kommentar angesprochenen Installationsprobleme für die letzten CUs behoben sind, entzieht sich meiner Kenntnis.

Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Kumulative Exchange Updates Juni 2021 veröffentlicht

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Sicherheitsupdates für Exchange Server (Juli 2021)

  1. Stefan A. sagt:

    Diesmal ist – zumindest für mich – was ganz neues dabei.

    Es muss zusätzlich das Schema erweitert werden, damit alle CVEs gefixt werden.

    Betrifft Exchange 2013, 2016CU20 und 2019CU9.
    Beim CU21 / CU10 wurde das wohl schon mit gemacht.

    Kann man hier nachlesen:

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-july-2021-exchange-server-security-updates/ba-p/2523421

    • Michael sagt:

      Danke, für den extrem wichtigen Hinweis. Das bedeutet, aber auch, dass man nun gezwungen ist, dass aktuelle CU einzuspielen, weil normalerweise bekommt man für das aktuelle CU und den Vorgänger Security updates. Für den Vorgänger dürfte es aber wohl nun keinen Pfad geben um das AD Schema zu erweitern.

      • Sebastian sagt:

        Auch wenn es für manche keinen Unterschied macht: Meine Lesart ist, dass es reicht nur das Schema-Update durchzuführen. Das Setup hat ja explizit die Parameter um das Schema-Update zu machen. Die CU-Installation kann man dann verschieben.

    • Blubmann sagt:

      Ich habe immer gedacht, dass das Schema Update während dem Setup automatisch durchgeführt wird.

      • Gernot sagt:

        Wenn Du auf das aller letzte CU Updatest passt das auch. Nur wenn Du das SU über das vorletzte CU ziehst, dann musst Du das Schema manuell updaten… so hab ich es zumindest verstanden.

  2. Carsten sagt:

    Irgendwie blicke ich da bei dem CVE wirr warr nicht ganz durch. Anscheinend sind in diesem Security Update nur die nicht ganz schlimmen Lücken geschlossen worden. Liest man sich die CVE einzeln durch findet man sowohl bei CVE-2021-34473 und CVE-2021-34523 (den richtig kritischen) folgenden Text ganz unten:

    Information published. This CVE was addressed by updates that were released in April 2021, but the CVE was inadvertently omitted from the April 2021 Security Updates. This is an informational change only. Customers who have already installed the April 2021 update do not need to take any further action.

    Sehe ich das also richtig, dass bei diesem SU der Schuh nicht so sehr drückt? Es wäre mal schön ein paar Tage ohne Windows Zero-Day Panik Attacke zu verbringen :D

    Gruß

    • Günter Born sagt:

      Meine Lesart ist die: Der Fix für die CVE war im Patch enthalten, man hat nur vergessen, das zu dokumentieren. Die seit 2020 neu eingeführte Sicherheitsseite mit den aufgelisteten CVEs ist eh ein Graus – imho – total unübersichtlich.

    • Olli sagt:

      Das war mir auch sofort ins Auge gesprungen. Der aktuelle Fix ist nur „Important“. Critical sind wirklich die Fixes vom April und die sind schon drauf…

      Aber egal wird schon noch Lücken geben, welche die Gauner zu erst finden…

    • André Winkler sagt:

      Seit heute ist der Satz mit den April Updates im Security Update Guide nicht mehr zu finden. Jetzt bin ich vollends verwirrt.

  3. Foegi sagt:

    Wenn ich das richtig sehe muss man Exchange CU8 nun auf CU9 aktualisieren um die Sicherheitslücken zu schließen?

    • Anonymous sagt:

      ja oder direkt CU10.
      es wird immer nur die aktuelle (zz CU10) und die davor (zz CU9) supportet.
      Alle älteren (also zz CU8 und älter) sind EOS und bekommen keine Patche mehr

  4. McClane sagt:

    Bei meinem ersten Exchange (2019CU10) war im ECP Ordner die web.config leer nach dem Patch. Ich hab sie dann vom zweiten Server rübergezogen.

    • Gast sagt:

      Mal eine Frage: ich verteile grundsätzlich per WSUS. Wenn ich das Exchange 2016 CU21 freigebe und es eigenständig installiert wird – ist dann alles ok oder muss ich das CU21 explizit herunterladen und /PrepareSchema durchführen?

      Schon einmal Danke für die Antwort!

  5. Marcel sagt:

    Hallo,

    habe nach dem Update Anmeldeprobleme. Nach der Installation des Security Update For Exchange Server 2016 CU21 (KB5004779) auf einem Exchange Server in der DAG ergibt sich folgendes Fehlerbild:
    Nach erfolgreicher Anmeldung wird man umgehend auf die OWA Anmeldseite zurückgeworfen.
    Deaktiviere ich den Server am LB funktioniert OWA wie gewohnt!

    Kann das jemand auch bestätigen?

  6. Michael sagt:

    UPDATE:
    Laut Microsoft ändert sich die Versionsnummer nicht:
    https://docs.microsoft.com/en-us/exchange/prepare-active-directory-and-domains-exchange-2013-help

    Exchange 2013 version rangeUpper objectVersion objectVersion
    Exchange 2013 CU23 with KB5004778 15312 13237 16133
    Exchange 2013 CU23 15312 13237 16133

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert