[English]Microsoft hat zum 10. Oktober Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Sicherheitsupdates schließen Schwachstellen in dieser Software. Die Updates sollen zeitnah auf den Systemen installiert werden, um die betreffenden Schwachstellen zu schließen.
Ich bin auf Twitter auf nachfolgenden Tweet des Exchange-Teams zu den Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 gestoßen.
Microsoft hat den Techcommunity-Beitrag Released: October 2023 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.
SUs sind als selbstextrahierendes .exe-Paket sowie als Original-Update-Pakete (.msp-Dateien) erhältlich, und können aus dem Microsoft Update Catalog heruntergeladen werden.
Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates Schwachstellen beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden.
Während der Veröffentlichung der August-2023-SUs wurde von Microsoft empfohlen, eine manuelle oder skriptbasierte Lösung zu verwenden und das IIS-Token-Cache-Modul zu deaktivieren, um CVE-2023-21709 zu beheben. Mit den Oktober 2023 Updates hat das Windows-Team den IIS-Fix für die Ursache dieser Sicherheitslücke in Form des Fixes für CVE-2023-36434 veröffentlicht. Microsoft empfiehlt, den IIS-Fix zu installieren und danach das Token-Cache-Modul auf den Exchange-Servern wieder zu aktivieren.
Beachtet Microsofts Hinweise zur Update-Installation, und was sonst zu beachten ist. Probleme in Verbindung mit den Sicherheitsupdates sind keine bekannt.
Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.
Wegen der Installationsprobleme, siehe Exchange Server Okt. 2023 Updates scheitern mit Fehler 0x80070534.
Ähnliche Artikel:
Microsoft Security Update Summary (10. Oktober 2023)
Patchday: Windows 10-Updates (10. Oktober 2023)
Patchday: Windows 11/Server 2022-Updates (10. Oktober 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (10. Oktober 2023)
Microsoft Office Updates (10. Oktober 2023)
Moin,
ich habe bis jetzt das August Update nicht installiert.
Sehe ich das richtig, dass es jetzt reicht, das Oktober Update zu installieren, da es kumulativ ist?
Das Token-Cache-Modul wieder zu aktivieren muss aber dann unbedingt durchgeführt werden.
VG
Rüdiger
Die Updates sind immer kumulativ.
Solltest du das August Update in der Version 2 (gefixte Version) installiert haben, muss du dich um nichts kümmern, außer den Token-Cache. Alles andere ist Gucchi.
Keine Probleme auf deutschem EX2016 CU23 auf Server 2016
Gruß
Exchange 2019 CU13:
Update KB5030877 wurde von gestern auf heute automatisch versucht zu installieren.
Das ist mit Fehler 0x80070643 gescheitert.
Alle MS Exchange Dienste waren dann deaktiviert.
Eine manuelle Installation mit Download des KB (german) via https://www.microsoft.com/de-de/download/details.aspx?id=105637 brach ebenfalls mit dem Fehler in der Console ab: „ERROR: While installing the Exchange Server Update, error 1603 occurred.“
Wir haben die Dienste mit dem PS-Script von https://www.alitajran.com/restart-exchange-services-powershell-script/ wiederhergestellt.
Es scheint soweit wieder zu laufen – ohne den Patch.
Mal abwarten, ob MS den Patch wieder mal zurückzieht.
Wir haben keinerlei Fehler – Ex 2019 CU13. Hast du beim August-SU auch das zweite Release installiert und den Anweisungen folge geleistet? Kling so also ob noch etwas vom August-SU bei dir Probleme bereitet.
War AntiVirus aktiv?
Es wird zudem empfohlen, nicht per automatischem Windows Update, sondern diese Updates manuell herunterzuladen und per Rechtsklick „Als Administrator“ zu installieren. Per WU wird es zwar meist funktionieren, aber halt doch etwas höhere Chance eines Fehlschlags
Antivirus und Installation per WU sind 2 vermutliche Fehlerquellen.
Wie man auf Frankysweb zb. liest, haben es ja schon manche auf deutschen Exchange Servern installiert.
Wir installieren immer manuell.
Ja – zwei parallellaufende EDR und XDR Systeme sind IMMER aktiv, wir hatten bisher nie Probleme damit.
Hier das gleiche Problem, aber auf einem Exchange 2016… Kein AV, aber das gleiche Problem sowohl per WSUS als auch manuell :-(
Wir haben nach einem fehlgeschlagenen Update im Log unter C:\Program Files\Microsoft\Exchange Server\V15\Logging\Update\msi\*.log den folgenden Eintrag gefunden
ExecSecureObjects: Error 0x80070534: failed to get sid for account: Network Service
Das kann doch nicht wirklich der gleiche Bug wie im August sein, oder? Habt ihr, die ihr kein Problem mit der Installation habt, ggf. den manuell erstellten „Network Service“-Account noch nicht wieder gelöscht?
Gegenfrage: habt ihr das August v1 SU installiert inkl. Workaround? Falls ja, habt ihr gemäß der Anleitung SU v1 deinstalliert, rebootet, den Account wieder entfernt und SU v2 installiert?
Die Vorgehensweise ist hier beschrieben für alle Szenarien:
https://techcommunity.microsoft.com/t5/exchange-team-blog/re-release-of-august-2023-exchange-server-security-update/ba-p/3900025
Anscheinend… Irgendwo gab es wohl Spuren des manuelll angelegten Network Service-Users.
Nach dem Deinstallieren der August-Updates konnte ich nun auch das Oktober-Update installieren.
Vorher musste ich aber den Network Service-User noch einmal anlegen (sic!), da sonst die Deinstallation des August-Updates fehlschlug…
Nachtrag: in dem oben verlinkten Beitrag unter FAQ können der 3. letzte und letzte Punkt relevant sein.
Selbes Problem heute bei 2 Kunden gehabt. Gibt echt kaum ein Update das keine Probleme macht. So langsam macht das echt kein Spaß mehr mit den On Premise
Schon eine Lösung gefunden? Bei uns hat es bei einem ex2019 geklappt und bei dem anderen nicht..
sowohl das WU bereitgestellte, manuell installierte mit AV aus etc.
versuchen jetzt wieder die Dienste zu reanimieren mit dem Startscript dass uns auch im August geholfen hat.
Tja, bei uns genau das selbe Problem – leider hat aber das Powershell Skript nix gebracht…
bei uns hat dieser workaround ein paar Mal geholfen: https://www.reddit.com/r/exchangeserver/comments/108ggfz/january_patch_tuesday/
siehe Kommentar von Shit_This
eventuell Mal das Log C:\ExchangeSetupLogs\ServiceControl.log
nach
„The term ‚Stop-SetupService‘ is not recognized as the name of a cmdlet, function, script file, or operable program.“
absuchen.
Bei uns war der selbe Fehler. Dank des PS-Scripts konnte ich alle Dienste wieder starten und nun scheint wieder alles wie gewohnt zu laufen…
Gerade auf ersten Exchange der DAG installiert, keine Probleme. Exchange 2019 CU13. Lief sauber durch
Vorher war August V2 installiert. V1 nicht angerührt.
Falls es wen interessant, passt jetzt nur bedingt zum Thema. Microsoft Exchange Online hat heute weltweit und schon den ganzen Tag Probleme Mails anzunehmen. Mailserver werden willkürlich rated-limit bekommen die Meldung „451 4.7.500 Server busy“. Ein paar lustige Details hier: Anyone else seeing Outlook mail delivery problems in AU ?
Jepp. Kann ich bestätigen. Haben wir auch. Sieht aus, als hätte MS ein paar Sensoren geändert, die jetzt Adressen throttlen bei ungewöhnlichen Aktivitäten. Es reicht wohl schon, dass ein Absender der täglich bisher 1 Mail nur sendete, an dem Tag 3 gesendet hat, gilt er als Spammer.
Haben eine Absender SMTP Adresse mal ins Antispam geschoben bei Exchange Online und siehe da, Nachrichten von ihm kamen wieder an.
Kann aber kein Dauerzustand bleiben.
Siehe Exchange Online: Störung EX680695 (11.10.2023)
Windows 2022 Core, Exchange 2019 CU 12. Keine Probleme beim Update. Wir haben in weiser voraussicht das Zeugs nicht auf Deutsch installiert, das testet bei Microsoft keiner.
SU Update auf Exchange 2019 manuell installiert. CMD per Admin gestartet und dann die Exe aufgerufen auf Server 2022 hat funktioniert. Healthchecker sagt nun:
TokenCacheModule loaded: False
The module wasn’t found and as a result, CVE-2023-21709 and CVE-2023-36434 are mitigated. Windows has released a Security Update that addresses the vulnerability.
It should be installed on all Exchange servers and then, the TokenCacheModule can be added back to IIS (by running .\CVE-2023-21709.ps1 -Rollback).
More Information: https://aka.ms/CVE-2023-21709ScriptDoc
hat das bei jemanden funktioniert?
Bei denen, die den Install Fehler haben, hattet ihr alle das August V1 installiert und hattet den Workaround umgesetzt?
Ist es dann bei euch ein „Überrest vom Workaround“ oder hat Microsoft dieses Monat wieder ein kaputtes Update herausgebracht? Das will man gar nicht glauben können…
Wir sind bei uns damals gleich auf das V2 im August und hatten das V1 + Workaround übersprungen.
Folgendes ist in der FAQ der Techcommunity zu finden:
We are running a non-English operating system, and the October 2023 SU fails with an „Error 0x80070534: failed to get sid for account: Network Service“ error. Help!
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647
Hi, sorry, blöde Frage, wir haben Exchange 2016 CU23 SU9v2 ohne disable Token Cache.
jetzt noch SU10 und KB5031362?
das SU9V2 hatte keine Probleme, sollte also das Su10 auch problemlos funktionieren oder was meint ihr?
System ist leider Deutsch..
Windows 2022, Exchange 2019 de CU 13 . Keine Probleme beim Update
Hallo zusammen,
ich hab hier 20 OnPem Systeme am laufen, teils Ex2016 und Ex2019 (alle aktuelle CU), Srv.2016-2022 alles Deutsch.
Ich hab durchweg (ja – ich bin da schon zeitnah dabei – hatte vor 2 Jahren auf 2 Systemen mal einen Proxyshell „Einbruch“) August v1 SU installiert – Oktober Update lieferte bereits bei der 1. Installation den 1603er Fehler.
Der AD „Network Service“ Account vom August wurde auf allen Systemen nach den August Updates entfernt.
Nach den ersten fehlerhaften Updates (10-2023), den „Network Service“ Account per PS wieder neu stellt – und siehe da – Alle Systeme (Ex2016 und Ex2019) wurden erfolgreich und funktional installiert.
Vllt. hilft die Info dem einen oder anderen weiter, hier noch der PS Befehl:
New-ADUser -Name „Network Service“ -SurName „Network“ -GivenName „Service“ -DisplayName „Network Service“ -Description „Dummy user to work around the Exchange October SU issue“ -UserPrincipalName „Network Service@$((Get-ADForest).RootDomain)“
Günter – danke für deine Arbeit, danke für deinen Blog.
Ich bin immer froh – hier Hilfe zu finden – vllt. kann ich dem einen oder anderen Helfen. Bleibt freundlich ;-)
Gruß
Markus
Hallo Markus,
das hatten wir so auch. Der „empfohlene“ Weg von Microsoft ist, die Updates sukzessive bis einschließlich des kaputten ersten August-Updates wieder zu deinstallieren, den Account zu löschen und dann wieder zu aktualisieren (die Updates sind ja kumulativ, somit reicht es, das Oktober-Update zu installieren).
Wenn du das nicht tust, schleppst du die Abhängigkeit von dem manuell erstellten „Network Service“-User zukünftig immer mit. Ich könnte mir vorstellen, dass das später irgendwann einmal zu übel zu debuggenden Problemen führt…
We disabled IIS Token Cache as a part of August 2023 update. Does Exchange require IIS Token Cache to run? Must we re-enable it?
Re-enabling IIS Token Cache after installing the update for CVE-2023-36434 is optional. Exchange Server does not require IIS Token Cache. We wanted to call the CVE-2023-36434 update because we heard from some customers who had concerns about performance of their clients after IIS Token Cache is disabled. If you already disabled IIS Token Cache and want to keep it disabled, Exchange Server does not require it. But please make sure to install all Windows Updates anyway.
Wir haben den IIS-Token-Cache im Rahmen des Updates vom August 2023 deaktiviert. Benötigt Exchange für die Ausführung den IIS-Token-Cache? Müssen wir es wieder aktivieren?
Das erneute Aktivieren des IIS-Token-Cache nach der Installation des Updates für CVE-2023-36434 ist optional. Exchange Server erfordert keinen IIS-Token-Cache. Wir wollten das Update CVE-2023-36434 aufrufen, weil wir von einigen Kunden gehört haben, die Bedenken hinsichtlich der Leistung ihrer Clients hatten, nachdem der IIS-Token-Cache deaktiviert wurde. Wenn Sie den IIS-Token-Cache bereits deaktiviert haben und ihn deaktiviert lassen möchten, ist er für Exchange Server nicht erforderlich. Bitte stellen Sie jedoch sicher, dass Sie trotzdem alle Windows-Updates installieren.
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647
Schaut mir nicht extra dringend aus, mit August SUs sind die am 12.10. veröffentlichten CVEs bereits gefixed
„The Exchange Server CVEs released today can be addressed by installing the August
2023 SU (both v1 and the v2 re-release of Aug SU contained those fixes)“
EDIT: Nur folgendes nicht:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36778
Wieso auch immer das nicht in der Vulnerability-Liste auftaucht..
Das Token wieder rückgängig machen geht auch über das Skript:
https://aka.ms/CVE-2023-21709ScriptDoc
Hat bei mir genauso funktioniert. Wichtig ist vielleicht, dass man das aktuelle Skript herunterlädt und nicht das alte vom August verwendet. Die Skripte sind auch unterschiedlich groß.
.\CVE-2023-21709.ps1 -Rollback funktioniert wunderbar.
Dann wird im selben Verzeichnis eine Debug Textdatei erstellt und am Ende steht bei mir: Write-Progress Activity: ‚Adding TokenCachingModule‘ Completed: True
Mit dem aktuellen Skript und mit .\CVE-2023-21709.ps1 -Rollback sagt auch der Healtchecker alles in Ordnung :)
Wenn man das alte vom August verwendet, macht es automatisch ein Update auf die aktuelle Version und tut sonst nichts.
Hi all,
I faced same issue today. Thanks for all folks and Tarjan script. :)
Update KB5030877 and error 0x80070643
Exchange Server 2016 (deutsch):
– Alle Windows Updates installiert
– SU10 für CU23 installiert
Der Server wurde im August direkt mit der V2 gepatched, kein Workaround. Keine Probleme beim Update.
– IISTokenCache per Skript wieder aktiviert
– Script für die ExtendedProtection neu laufen lassen, da Microsoft hier die Empfehlungen angepasst hat.
Beide Skripte neuste Version vom 10. Oktober. Keine Probleme gehabt. HealthChecker wieder glücklich.
Moin,
ich habe das August Update komlett per WSUS ausgeschlossen, muss ich nun das August V2 Update nachziehen oder kann ich das Oktober Update direkt installieren?
Server 2022
Exchange 2019 CU13
Vielen Dank! Leider konnte ich dazu nichts finden!
Die Updates für Exchange sind kumulativ. Auch wenn das August Update nicht installiert wurde, so kann direkt das Update für Oktober installiert werden. Kein Zwischenschritt erforderlich.
Hallo,
ich habe am Exchange 2019 CU13 alle Updates / Patches installiert, seitdem werden in den Posfächern keine Mails mehr nach dem 12.10.2023 gefunden – hat hier jemand eine Idee?