Microsoft Exchange Server Updates 12. November 2024

Exchange Logo[English]Microsoft hat zum 12. November 2024 Sicherheits-Updates (SU) für Exchange Server 2016 und 2019 veröffentlicht. Diese Updates schließen Schwachstellen, die durch Microsoft oder Sicherheitspartner in Exchange Server gefunden wurden. Nachfolgend gebe ich einen Überblick, welche Updates für Exchange Server (On-Premises) verfügbar sind. Ergänzung: Das Update wurde zum 14.11.2024 zur Verteilung gestoppt.

Ich bin bei der Suche über nachfolgenden Tweet des Exchange-Teams auf den Techcommunity-Beitrag Released: November 2024 Exchange Server Security Updates gestoßen.

Exchange Server Updates

Gemäß Techcommunity-Beitrag wurden sowohl für Exchange Server 2016 als auch für Exchange Server 2019 Sicherheitsupdates (SU) veröffentlicht. Aktuell sind folgende CUs:

Die Updates (CU) vom November 2024 enthalten Korrekturen für von Sicherheitspartnern gemeldete oder intern gefundene Sicherheitsprobleme. Hier die betreffenden Sicherheitsupdates (SUs):

  • Security Update For Exchange Server 2019 CU13 SU7 (KB5044062)
  • Security Update For Exchange Server 2019 CU14 SU3 (KB5044062)
  • Security Update For Exchange Server 2016 CU23 SU14 (KB5044062)

Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Server-Installationen schützen. Details zur Update-Installation sowie zu den Schwachstellen, lassen sich im Techcommunity-Beitrag sowie in dem Supportbeitrag KB5044062 entnehmen.

Diese Sicherheitslücken betreffen Exchange Server (On-Premises). Exchange Online-Kunden sind bereits vor den Sicherheitslücken geschützt, die durch diese SUs behoben werden, und müssen außer der Aktualisierung aller Exchange-Server oder Exchange-Verwaltungstools-Workstations in ihrer Umgebung keine weiteren Maßnahmen ergreifen.

Exchange Server AMSI-Integration

Im Techcommunity-Beitrag erläutert Microsoft, dass man Verbesserungen bei der Exchange Server AMSI-Integration vorgenommen habe. Sobald die SU vom November 2024 installiert sind, wurde die Fähigkeit von Produkten, die die Exchange Server AMSI-Integration verwenden, erweitert, diese können zusätzliche Aufgaben an Nachrichtentexten auszuführen.

Die Funktion ist standardmäßig deaktiviert und kann für jedes Protokoll einzeln aktiviert werden. Microsoft empfiehlt, diese Funktion zunächst für eine Teilmenge von Diensten zu aktivieren, da dies möglicherweise zu Leistungsproblemen führen kann. Darüber hinaus bittet Microsoft um Rückmeldung, wenn nach der Aktivierung des Exchange Server AMSI-Textscans Probleme auftreten. Weitere Informationen zur Funktionsweise und Steuerung dieser Funktion finden sich hier.

Non-compliant RFC 5322 P2 FROM header detection

Um die Sicherheitslücke CVE-2024-49040 zu beheben, wurde eine neue Funktion implementiert, um nicht RFC 5322-kompatible P2-FROM-Header in eingehenden E-Mail-Nachrichten zu erkennen. Der P2-FROM-Header in einer E-Mail ist Teil des Nachrichtenkopfes, der dem E-Mail-Client des Empfängers (z. B. Outlook) angezeigt wird. Es ist die E-Mail-Adresse oder der Name des Absenders (wenn der Absender intern ist), der im Feld „Von“ angezeigt wird, wenn Sie eine E-Mail in Ihrem Posteingang anzeigen. Weitere Informationen finden sich hier.

Verbesserungen der ECC-Zertifikatsunterstützung

Das SU vom November 2024 verbessert die Unterstützung für ECC-Zertifikate. ECC-Zertifikate können jetzt auf Edge-Transport-Servern verwendet und an POP- und IMAP-Dienste gebunden werden. Zu beachten ist, dass es eine Änderung bei der Aktivierung der ECC-Zertifikatsunterstützung gibt. In der vorherigen Implementierung war ein New-SettingOverride erforderlich, um die Funktion zu aktivieren. Ab dem SU vom November 2024 müssen Administratoren anstelle des Overrides einen Registrierungswert erstellen. Weitere Informationen finden sich in der Dokumentation.

Ergänzung: Die Update-Verteilung ist wegen Problemen mit den Transportregeln wurde zum 14.11.2024 gestoppt worden (siehe Exchange Server: November 2024-Sicherheitsupdates wegen Problemen gestoppt).

Ähnliche Artikel:
Microsoft Security Update Summary (12. November 2024)
Patchday: Windows 10/Server-Updates (12. November 2024)
Patchday: Windows 11/Server 2022-Updates (12. November 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (12. November 2024)

Exchange: Extended Protection, Checkliste und Probleme
Exchange Server 2019: Keine weiteren CUs mehr in 2023; CU14 und CU15 kommen 2024

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

31 Antworten zu Microsoft Exchange Server Updates 12. November 2024

  1. Max sagt:

    Also ich kann berichten, bei mir hat es sich einwandfrei installieren lassen

  2. Quercus sagt:

    Frage in die Runde der Admins,

    Windows 2016 mit Exchange 2016 zeigt nach Windows Patchday update installation keinen Update Verlauf mehr an! sprich welche Updates installiert wurden.
    auch nicht unter Programme und Featurs hier seh ich nur das Exchange Update?
    installiert wurden aber 4 Updates.
    kann das jemand nachvollziehen?

    • Werner sagt:

      Nein, sorry, hier funktioniert es einwandfrei, es werden 4 neue Updates, heute installiert, im Verlauf angezeigt.

      Exch 2016 auf virtuellem Win 2016. Virtualisiert auf Win 2019 Cluster mit Hyper-V.

  3. Carsten sagt:

    Update lief ohne Probleme durch. EXCH2016 auf Server 2016.

  4. MaGGs sagt:

    Moin, ich hab dazu mal ein kleines Logbuch meiner vorgefundenen Fehler bei den aktuellen Updates auf einem aktuell gepatchten EXC2016 (auf VM Server 2016) angelegt:

    Kommentar bei Frankys Web
    Sorry Herr Born, aber muss ja nicht alles doppelt, oder? ;0)

  5. Lennier sagt:

    Bei einem 2019er Server wurden die Updates ohne zutun installiert.
    Abgesehen davon das es fehlgeschlagen ist, wurden sämmtliche Dienste deaktiviert.
    Sprich der Server ist beim Kunden einfach von jetzt auf gleich ohne Funktion gewesen. Da musste ich dann schon ein weilchen suchen, um herauszufinden was los ist.
    Nach dem zweiten manuellen Versuch das Update zu installieren, war dieses zwar erfolgreich drin, allerdings sind wieder alle Dienste auf deaktiviert gestellt gewesen.
    Bin gespannt wie es dann bei den anderen Server aussieht.

    • Daniel A. sagt:

      Ich bin immer noch der Meinung, Exchange Updates sollte man tunlichst nicht per Windows Update installieren lassen, man liest in diversesten Blogs und Foren immer wieder von Problemen damit. Daher verstehe ich nicht, dass es immer noch Leute gibt, die das per Windows Update reinlaufen lassen und dann auch noch automatisch.
      Lieber das Update vom Download Center manuell herunterladen und dann auch manuell auf dem Server installieren, da gibt es deutlich weniger Bauchschmerzen mit und man kann auch direkt eingreifen, falls doch was passieren sollte.

      • Lennier sagt:

        Mit dem Windows Update gab es noch nie Probleme, aber ich lasse ja auch nix automatisch ohne beisein installieren.
        Nur diesmal hat MS gemeint es tun zu mussen, und sowas ist fatal.

        • Carsten sagt:

          „Es gab noch nie Probleme“ – bis es plötzlich Probleme gibt. Wer kennt es nicht. Wer sich die KBs zu den Updates durchliest sollte wissen, dass man SUs nicht per Windows Update installiert. Und wenn dein System das Update einfach automatisch einspielt, stimmt halt was an deiner config nicht. Mir wurde noch nie ein Update einfach installiert, welches ich nicht selber freigegeben habe. Noch nie in 20 Jahren.

          • Boris B. sagt:

            ich kann hier nur zustimmen. Aus meiner Erfahrung mit vielen Exchange-Umgebungen ist der einzige stabile Weg:
            Alle Admins, die auf dem Server angemeldet sind abmelden.
            Alle Exchange PowerShells schließen.
            Admin-CMD öffnen und dann darüber das lokal abgelegte Exchange Update starten (egal, ob CU oder SU). Über den WSUS geht es meistens, aber halt nicht immer.

            Grüße

        • Daniel A. sagt:

          Also bei unserem Exchange wurden und werden keine Exchange Updates per Windows Update geladen, noch nie. Die werden mir da nicht mal angezeigt, nur die normalen Windows Updates tauchen da auf, die ich dann freigeben kann. Und das ist auch genau so gewollt und an diese Einstellung hat sich MS bisher immer gehalten.

          Ich bin daher bei Carsten, an deinen Einstellungen ist was nicht korrekt.

          • CU sagt:

            Die Exchange-Updates laufen rein, wenn sinngemäß „auch Microsoft-Software updaten“ angemarkert ist.

            Bei mir ist der Haken raus. Dann laufen nur die Serverupdates. Nach Neustart Haken rein und Exchange SU installiert.

            Bei mir, Server 2016 Exchange 2016 wollte der Server nicht neu starten. Mehr als 1Stunde „… schalten Sie nicht ab…“. Dann hab ich die VM stromlos gemacht u. neu gestartet. Exchange SU war installiert.

            Die letzten Male hatte ich manuell installiert. Diesmal „Windows Update“. Scheint wirklich daran zu liegen.

    • Franz sagt:

      Habe genau das gleiche Problem, es läuft jetzt wieder alles nur heute am 2. wieder alles deaktiviert ohne zutun.

  6. StefanH sagt:

    Wir lassen Mails von extern im Betreff und im Nachrichtentext per Regel kennzeichnen.
    (siehe https://schweigerstechblog.de/exchange-mails-von-extern-besonders-hervorheben/).
    Leider funktionieren die Regeln nach der Installation von KB5044062 auf Exchange 2016 nicht mehr. Kann das noch jemand bestätigen oder hat gar eine Lösung dazu?

  7. StefanM sagt:

    Können das Problem leider bestätigen, wiederholtes speichern der Transportregeln hat das Problem nicht gelöst. Aktuell funktionieren die Transportregeln nicht.

    • Arndt sagt:

      Auch bei uns. Nur kurz halfen diese Befehle:
      Enable-TransportAgent „Transport Rule Agent“
      stop-service MSExchangeTransport
      start-service MSExchangeTransport

  8. Stefan A. sagt:

    Nachdem sich die Kommentare dazu auch im Exchange Team Blog häufen, sollte Microsoft es inzwischen auf dem Schirm haben:

    https://techcommunity.microsoft.com/blog/exchange/released-november-2024-exchange-server-security-updates/4293125

  9. Sebastian sagt:

    Weiß jemand eine Möglichkeit, das SU von einem Exchange Server 2019 Server Core runter zu bekommen? über msiexec, wusa und uninstall-Package funktioniert es leider nicht

    • Tomas Jakobs sagt:

      Debian Linux USB Stick einlegen…

      – Postfix – Mail Transfer Agent (MTA)
      – Dovecot – POP3, IMAP, Managesieve
      – OpenLDAP
      – MySQL, MariaDB, PostgreSQL
      – Amavisd-new/ Spamassasin
      – ClamAV
      – Fail2ban
      – Nginx & SOGo für ActiveSync

      Fertig ist der vollwertige Mailserver ohne Lizenzkosten, beliebig vielen User und Postfächer, öffentliche Ordner, Ressourcen, DAV- und ActiveSync Funktionen

      Der Bruchteil der vergeudeten Lebenszeit und -energie mit den immer wiederkehrenden Microsoft Fehlern und Bullshit und Du bist fit in den vorgenannten Komponenten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert