[English]Kurzer Hinweis und Vorwarnung für Administratoren von Microsoft Exchange On-Premises-Installationen. Reserviert euch für heute Abend (11.5.2021) etwas Zeit zum Patchen von Exchange-Servern. Wenn die vorliegenden Informationen stimmen, rollt Microsoft in den kommenden Stunden (so ab 19:00 Uhr) ein kritisches Hotfix für Microsoft Exchange Server aus, welches zeitnah installiert werden sollte.
Hier im Blog finden sich ja Artikel zu Sicherheitslücken in Exchange, die bisher m.W. nicht gepatcht wurden. Blog-Leser Thomas B. hat mich gerade per Mail kontaktiert und folgende Information übermittelt (danke dafür).
Hallo Günter,
wenn ich richtig informiert bin, wird morgen früh um 1000 ein erneuter kritischen Security Hotfix von Microsoft für Exchange Server offiziell veröffentlicht.
Nach meinen Informationen ist der so kritisch, dass der äußerst zeitnah installiert werden sollte.
Ich hoffe, meine Informationen sind richtig. Wir haben jedenfalls bereits alle Vorkehrungen auch im Hinblick auf personelle Ressourcen getroffen, damit wir den bei Kunden umgehend ausrollen können.
Just my 2 cents,
Tom
Ergänzungen: Die Uhrzeitangabe dürfte sich auf Pacific Standard Time (PST) beziehen, was so 19:00 Uhr Deutscher Zeit entspricht (siehe auch Kommentare). Das „morgen früh“ heißt 11.5.2021 (Patchday bei Microsoft). Der obige Hinweis zwar vage, möglicherweise unterliegt Tom einer Vertraulichkeitsvereinbarung. Aber man sollte heute diesbezüglich die Augen offen halten. Ich tippe auf die Bugs, die im Blog-Beitrag Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen? angedeutet wurden – mag mich aber irren. Falls euch Details bekannt werden, hinterlasst einen Kommentar – ich bereite das heute Abend oder heute Nacht auf, sobald Details vorliegen.
Ergänzung: Details zum Sicherheitsupdate finden sich im Blog-Beitrag Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021).
Ähnliche Artikel:
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange Update-Fehler und -Infos (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Heute oder morgen um 10?
Heute 1000 PT = 1900 CEST
Ah ok. Ich wunderte mich schon über die Uhrzeit.
Also statt „morgen früh um 1000“ wird „heute 1900“, Zulu Zeit hätte ich ja noch verstanden. Aber naja, danke und frohes Patchen.
Ich bin gespannt.
Es nimmt ja einfach kein Ende mehr bei der Bude.
Also 19 Uhr unserer Zeit sollen die Patches kommen?
so wie jeden Monat am Patch Tuesday
Und wieder das alte Lied:
Die verantwortlichen Vorgesetzten informiert per eMail (von wegen Nachweis und so!) und als Antwort:
NEIN! BITTE DIE FINGER DAVON LASSEN!
SO macht IT wirklich Spaß! Vorgesetzte, die keinen blassen Dunst haben, einmalig im Leben eine „Leistung“ erbracht haben in Form der Studentenpartys und zur Abschlussprüfung nen rostigen Nagel headbangen mussten, aber weitaus mehr Geld verdienen, wälzen dann im Nachgang, wenn gehackt wurde, die Verantwortung wieder ab…;-(!!
Da soll man nicht ins Müsli brechen, motiviert zur Tat schreiten und mit Bedacht an die Dinge gehen…!
Notiz an mich:
Im nächsten Leben selbständig bleiben!!!
wwwuuussaaaaaa…..
„die bisher m.W. nicht gepatcht wurden“
Gibt es dazu irgendwelche Quellen? Dachte, mit den April Patches sind die 0-days, welche von der NSA entdeckt wurden, geschlossen worden?
Es geht hier wahrscheinlich um die Lücken vom PWN2OWN Event von der ZDI. Diese wurden Anfang April entdeckt und bisher nicht gepatcht.
MfG der Seb
So ist es. Ergänzung: Ich habe Recht behalten – Details im am Artikelende verlinkten Folgebeitrag.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31209
Details sind da.
Was this vulnerability found in the 2021 Pwn2Own contest?
Yes, this was one of the Exchange Server vulnerabilities found in the 2021 Pwn2Own contest.
Laut Microsoft Premier Advance Notice nur „Important“ und nicht „Critical“ (per Email vom 6.5.2021).
Damals bei Hafnium war es Critical.
Nur so zum Thema ob das Dach oder die Hütte brennt…
Auf das patchen dieser Lücken vom pwn2own, welche von denselben Jungs aus Taiwan (Republik China!) entdeckt wurden, die auch schon im Dezember die kritischen Lücken zum März gefunden und Januar an MS gemeldet hatten, warte ich auch noch. Geht wieder die rote Lampe an.
Wird morgen wieder ein lustiger Tag…
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-may-2021-exchange-server-security-updates/ba-p/2335209
KB5003435 ist im Catalog verfügbar.
Hallo,
habe soeben KB5003435 auf einem Exchange 2016 (CU20 inkl. April-Security Patch) aufgespielt (über administrative Kommandozeile). Nach Serverneustart sind keine Auffälligkeiten zu verzeichnen gewesen: Outlook, OWA, ActiveSync, EAC scheint alles noch OK zu sein.
Viel Erfolg noch…
Jörg
oh oh
es ist nach 20:00 und nix auf dem WSUS, das bedeutet nix gutes
Mir sind eine Hand-voll Meldungen bekannt, dass keine Updates auf dem WSUS kommen.
Habe soeben auf einem 16er mit Cu 20 das Ding per admin-Commandline draufgeschubst – lief durch ABER nach Neustart sind POP3 und IMAP nicht mehr funktional – Dienste werden immer wieder angehalten.
Also wer das nutzen muß/möchte – hmmmm
Ich versuche das jetzt erst einmal wieder runter zuschmeißen – und der zweite in der DAG bekommt es erst einmal nicht – warte erst mal ab
Mehr habe ich erst einmal nicht gesehen – auf die Schnelle
habe auch ein Problem mit POP3 nach dem Patch. Hat zufällig jemand eine Lösung? Das Update wurde auf einem Exchange 2013 installiert. Installation selbst ist fehlerfrei verlaufen. Die POP3 Dienste laufen bei mir. Compnentstate vom PopProxy ist „active“
bei mir hat sich das Problem erledigt. Da war ein Konfigfehler, hatte mit dem Update nichts zu tun
Hallo,
auch bei mir keine Probleme, hat alles wieder funktioniert!
Auch viel Erfolg euch……
Hubert
Hallo zusammen,
ich habe auch gerade KB5003435 installiert (über administrative Kommandozeile).
Exchange 2016, CU19.
Installation ohne Probleme.
Nach Serverneustart bisher keine Probleme mit Outlook-2016, OWA, EAC.
Grüße
Roland
Hallo
Ich habe gestern Abend unseren (einzigen) Exchange 2019 auf CU9 aktualisiert und das Mai Security-Upate drüberinstalliert sowie davor sämtliche Windows-Updates installiert.
Die Sprache ist EN, Exchange ist auf Laufwerk E installiert.
Eine Fehlermeldung kam keine, ECP, OWA, Outlook, Imap und SMTP tun.
Sowohl das CU9 wie auch KB5003435 sehe ich auf Programme und Features.
Installiert habe ich das Security Update mit Admin-Rechten in der CMD, wie ich gelesen hatte.
Irritiert hat mich dann jedoch der Inhalt des aktuellen Health Checkers
Exchange: Exchange 2019 CU7
Build Number: 15.2.858.5
EMS zeigt immerhin dieselbe Build-Nummer an
Name : xyz
Edition : Enterprise
AdminDisplayVersion : Version 15.2 (Build 858.5)
Gemäss
https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
ist 15.2.858.5 das CU9 ohne das Mai-Update.
Heute morgen habe ich dann einige Files überprüft gemäss
https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1
Ich fand z.B. Edgetransport.exe mit File-Versoin 15.2.858.12 und der korrekten Grösse
Also genau das was in der Doku steht. Dito ese.dll und etliche weitere. Habe ca. 15 Dateien geprüft.
Kurze Zwischenfrage, welches sind die wichtigsten Dateien zum Prüfen?
Was ich hingegen nicht fand war z.B.
Ext_microsoft.exchange.data.transport.dll
dafür
microsoft.exchange.data.transport.dll
mit den korrekten Eigenschaften wie auf dem Doku
Folgende Dateien fand ich nirgends
– Eext_policy…
z.B. Eext.14.2.microsoft.exchange.data.transport.versionpolicy.cfg
Ich fand hingegen
Microsoft.Exchange.Data.Transport.VersionPolicy14.2.cfg
1x vom 11.5.21 unter c:\Windows.net\assembly\GAC_MSIL…
1x vom 20.2.21 unter C:\Windows\Temp\ExchangeSetzp
aber beide sind nicht auf dem Exchange-Laufwerk.
Mit falschem Datum
– get_Antipsam…
-> die haben ein falsches Datum vom 20.2.21 und sind unter
C:\Windows\Installer\$patchChache$\managed\442…
– cts, z.B. cts_Policy.8.3…
-> Die Dateigrösse stimmt nicht und das Datum ist von gestern, die Version ist
15.2.858.2 (also CU9)
der Pfad C:\Windows\Installer\$patchChache$\managed\442…
Ich habe vor, das Security Update vom Mai nochmals einzuspielen heute Abend oder gibt es andere Vorschläge? Danke
Nachtrag von oben
Mit dem HealthChecker, den ich vorhin heruntergeladen und laufen gelassen habe, heisst der Output nun
Version: Exchange 2019 CU9
Build Number: 15.2.858.5
Exchange IU or Security Hotfix Detected.
Security Update for Exchange Server 2019 Cumulative Update 9 (KB5003435)
Mit Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion jedoch wie davor, d.h., die Buildnummer des CU9 ohne das Security Update.
Wie sieht das bei anderen aus, die ihren Exchange mit dem Mai-Update bespielt haben?
Was zeigt das Get-ExchangeServer | fl an?
Danke