Exchange Server Sicherheitsupdates (10. Oktober 2023)

Exchange Logo[English]Microsoft hat zum 10. Oktober Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Sicherheitsupdates schließen Schwachstellen in dieser Software. Die Updates sollen zeitnah auf den Systemen installiert werden, um die betreffenden Schwachstellen zu schließen.

Ich bin auf Twitter auf nachfolgenden Tweet des Exchange-Teams zu den Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 gestoßen.

Exchange Oktober 2023 Updates

Microsoft hat den Techcommunity-Beitrag Released: October 2023 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.

  • Exchange Server 2016 CU23
  • Exchange Server 2019 CU12 and CU13

SUs sind als selbstextrahierendes .exe-Paket sowie als Original-Update-Pakete (.msp-Dateien) erhältlich, und können aus dem Microsoft Update Catalog heruntergeladen werden.

Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates Schwachstellen beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden.

Während der Veröffentlichung der August-2023-SUs wurde von Microsoft empfohlen, eine manuelle oder skriptbasierte Lösung zu verwenden und das IIS-Token-Cache-Modul zu deaktivieren, um CVE-2023-21709 zu beheben. Mit den Oktober 2023 Updates hat das Windows-Team den IIS-Fix für die Ursache dieser Sicherheitslücke in Form des Fixes für CVE-2023-36434 veröffentlicht. Microsoft empfiehlt, den IIS-Fix zu installieren und danach das Token-Cache-Modul auf den Exchange-Servern wieder zu aktivieren.

Beachtet Microsofts Hinweise zur Update-Installation, und was sonst zu beachten ist. Probleme in Verbindung mit den Sicherheitsupdates sind keine bekannt.

Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.

Wegen der Installationsprobleme, siehe Exchange Server Okt. 2023 Updates scheitern mit Fehler 0x80070534.

Ähnliche Artikel:
Microsoft Security Update Summary (10. Oktober 2023)
Patchday: Windows 10-Updates (10. Oktober 2023)
Patchday: Windows 11/Server 2022-Updates (10. Oktober 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (10. Oktober 2023)
Microsoft Office Updates (10. Oktober 2023)

Exchange Server Sicherheitsupdates (10. Oktober 2023)

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

38 Antworten zu Exchange Server Sicherheitsupdates (10. Oktober 2023)

  1. Rüdiger sagt:

    Moin,

    ich habe bis jetzt das August Update nicht installiert.
    Sehe ich das richtig, dass es jetzt reicht, das Oktober Update zu installieren, da es kumulativ ist?
    Das Token-Cache-Modul wieder zu aktivieren muss aber dann unbedingt durchgeführt werden.

    VG
    Rüdiger

    • Carsten sagt:

      Die Updates sind immer kumulativ.

      Solltest du das August Update in der Version 2 (gefixte Version) installiert haben, muss du dich um nichts kümmern, außer den Token-Cache. Alles andere ist Gucchi.

  2. Carsten sagt:

    Keine Probleme auf deutschem EX2016 CU23 auf Server 2016

    Gruß

  3. gmu sagt:

    Exchange 2019 CU13:
    Update KB5030877 wurde von gestern auf heute automatisch versucht zu installieren.
    Das ist mit Fehler 0x80070643 gescheitert.
    Alle MS Exchange Dienste waren dann deaktiviert.
    Eine manuelle Installation mit Download des KB (german) via https://www.microsoft.com/de-de/download/details.aspx?id=105637 brach ebenfalls mit dem Fehler in der Console ab: „ERROR: While installing the Exchange Server Update, error 1603 occurred.“
    Wir haben die Dienste mit dem PS-Script von https://www.alitajran.com/restart-exchange-services-powershell-script/ wiederhergestellt.
    Es scheint soweit wieder zu laufen – ohne den Patch.
    Mal abwarten, ob MS den Patch wieder mal zurückzieht.

    • Bernd sagt:

      Wir haben keinerlei Fehler – Ex 2019 CU13. Hast du beim August-SU auch das zweite Release installiert und den Anweisungen folge geleistet? Kling so also ob noch etwas vom August-SU bei dir Probleme bereitet.

    • David sagt:

      War AntiVirus aktiv?

      Es wird zudem empfohlen, nicht per automatischem Windows Update, sondern diese Updates manuell herunterzuladen und per Rechtsklick „Als Administrator“ zu installieren. Per WU wird es zwar meist funktionieren, aber halt doch etwas höhere Chance eines Fehlschlags

      Antivirus und Installation per WU sind 2 vermutliche Fehlerquellen.
      Wie man auf Frankysweb zb. liest, haben es ja schon manche auf deutschen Exchange Servern installiert.

    • Dennis sagt:

      Hier das gleiche Problem, aber auf einem Exchange 2016… Kein AV, aber das gleiche Problem sowohl per WSUS als auch manuell :-(

    • Dennis sagt:

      Wir haben nach einem fehlgeschlagenen Update im Log unter C:\Program Files\Microsoft\Exchange Server\V15\Logging\Update\msi\*.log den folgenden Eintrag gefunden
      ExecSecureObjects: Error 0x80070534: failed to get sid for account: Network Service

      Das kann doch nicht wirklich der gleiche Bug wie im August sein, oder? Habt ihr, die ihr kein Problem mit der Installation habt, ggf. den manuell erstellten „Network Service“-Account noch nicht wieder gelöscht?

    • Christian Braun sagt:

      Selbes Problem heute bei 2 Kunden gehabt. Gibt echt kaum ein Update das keine Probleme macht. So langsam macht das echt kein Spaß mehr mit den On Premise

      • Christian VA sagt:

        Schon eine Lösung gefunden? Bei uns hat es bei einem ex2019 geklappt und bei dem anderen nicht..

        sowohl das WU bereitgestellte, manuell installierte mit AV aus etc.

        versuchen jetzt wieder die Dienste zu reanimieren mit dem Startscript dass uns auch im August geholfen hat.

    • Tobias Luenenschloss sagt:

      Tja, bei uns genau das selbe Problem – leider hat aber das Powershell Skript nix gebracht…

    • RoNie sagt:

      bei uns hat dieser workaround ein paar Mal geholfen: https://www.reddit.com/r/exchangeserver/comments/108ggfz/january_patch_tuesday/

      siehe Kommentar von Shit_This

      eventuell Mal das Log C:\ExchangeSetupLogs\ServiceControl.log
      nach
      „The term ‚Stop-SetupService‘ is not recognized as the name of a cmdlet, function, script file, or operable program.“
      absuchen.

    • Paul sagt:

      Bei uns war der selbe Fehler. Dank des PS-Scripts konnte ich alle Dienste wieder starten und nun scheint wieder alles wie gewohnt zu laufen…

  4. Adam sagt:

    Gerade auf ersten Exchange der DAG installiert, keine Probleme. Exchange 2019 CU13. Lief sauber durch
    Vorher war August V2 installiert. V1 nicht angerührt.

  5. Patrick sagt:

    Falls es wen interessant, passt jetzt nur bedingt zum Thema. Microsoft Exchange Online hat heute weltweit und schon den ganzen Tag Probleme Mails anzunehmen. Mailserver werden willkürlich rated-limit bekommen die Meldung „451 4.7.500 Server busy“. Ein paar lustige Details hier: Anyone else seeing Outlook mail delivery problems in AU ?

  6. Cerberus sagt:

    Windows 2022 Core, Exchange 2019 CU 12. Keine Probleme beim Update. Wir haben in weiser voraussicht das Zeugs nicht auf Deutsch installiert, das testet bei Microsoft keiner.

  7. Dominik sagt:

    SU Update auf Exchange 2019 manuell installiert. CMD per Admin gestartet und dann die Exe aufgerufen auf Server 2022 hat funktioniert. Healthchecker sagt nun:

    TokenCacheModule loaded: False
    The module wasn’t found and as a result, CVE-2023-21709 and CVE-2023-36434 are mitigated. Windows has released a Security Update that addresses the vulnerability.
    It should be installed on all Exchange servers and then, the TokenCacheModule can be added back to IIS (by running .\CVE-2023-21709.ps1 -Rollback).
    More Information: https://aka.ms/CVE-2023-21709ScriptDoc

    hat das bei jemanden funktioniert?

  8. Stefan A. sagt:

    Bei denen, die den Install Fehler haben, hattet ihr alle das August V1 installiert und hattet den Workaround umgesetzt?

    Ist es dann bei euch ein „Überrest vom Workaround“ oder hat Microsoft dieses Monat wieder ein kaputtes Update herausgebracht? Das will man gar nicht glauben können…

    Wir sind bei uns damals gleich auf das V2 im August und hatten das V1 + Workaround übersprungen.

  9. SebiM sagt:

    Hi, sorry, blöde Frage, wir haben Exchange 2016 CU23 SU9v2 ohne disable Token Cache.

    jetzt noch SU10 und KB5031362?

    das SU9V2 hatte keine Probleme, sollte also das Su10 auch problemlos funktionieren oder was meint ihr?

    System ist leider Deutsch..

  10. Roman sagt:

    Windows 2022, Exchange 2019 de CU 13 . Keine Probleme beim Update

  11. Markus B. sagt:

    Hallo zusammen,

    ich hab hier 20 OnPem Systeme am laufen, teils Ex2016 und Ex2019 (alle aktuelle CU), Srv.2016-2022 alles Deutsch.

    Ich hab durchweg (ja – ich bin da schon zeitnah dabei – hatte vor 2 Jahren auf 2 Systemen mal einen Proxyshell „Einbruch“) August v1 SU installiert – Oktober Update lieferte bereits bei der 1. Installation den 1603er Fehler.

    Der AD „Network Service“ Account vom August wurde auf allen Systemen nach den August Updates entfernt.

    Nach den ersten fehlerhaften Updates (10-2023), den „Network Service“ Account per PS wieder neu stellt – und siehe da – Alle Systeme (Ex2016 und Ex2019) wurden erfolgreich und funktional installiert.

    Vllt. hilft die Info dem einen oder anderen weiter, hier noch der PS Befehl:

    New-ADUser -Name „Network Service“ -SurName „Network“ -GivenName „Service“ -DisplayName „Network Service“ -Description „Dummy user to work around the Exchange October SU issue“ -UserPrincipalName „Network Service@$((Get-ADForest).RootDomain)“

    Günter – danke für deine Arbeit, danke für deinen Blog.
    Ich bin immer froh – hier Hilfe zu finden – vllt. kann ich dem einen oder anderen Helfen. Bleibt freundlich ;-)

    Gruß

    Markus

    • Dennis sagt:

      Hallo Markus,
      das hatten wir so auch. Der „empfohlene“ Weg von Microsoft ist, die Updates sukzessive bis einschließlich des kaputten ersten August-Updates wieder zu deinstallieren, den Account zu löschen und dann wieder zu aktualisieren (die Updates sind ja kumulativ, somit reicht es, das Oktober-Update zu installieren).
      Wenn du das nicht tust, schleppst du die Abhängigkeit von dem manuell erstellten „Network Service“-User zukünftig immer mit. Ich könnte mir vorstellen, dass das später irgendwann einmal zu übel zu debuggenden Problemen führt…

  12. Dominik sagt:

    We disabled IIS Token Cache as a part of August 2023 update. Does Exchange require IIS Token Cache to run? Must we re-enable it?
    Re-enabling IIS Token Cache after installing the update for CVE-2023-36434 is optional. Exchange Server does not require IIS Token Cache. We wanted to call the CVE-2023-36434 update because we heard from some customers who had concerns about performance of their clients after IIS Token Cache is disabled. If you already disabled IIS Token Cache and want to keep it disabled, Exchange Server does not require it. But please make sure to install all Windows Updates anyway.

    Wir haben den IIS-Token-Cache im Rahmen des Updates vom August 2023 deaktiviert. Benötigt Exchange für die Ausführung den IIS-Token-Cache? Müssen wir es wieder aktivieren?
    Das erneute Aktivieren des IIS-Token-Cache nach der Installation des Updates für CVE-2023-36434 ist optional. Exchange Server erfordert keinen IIS-Token-Cache. Wir wollten das Update CVE-2023-36434 aufrufen, weil wir von einigen Kunden gehört haben, die Bedenken hinsichtlich der Leistung ihrer Clients hatten, nachdem der IIS-Token-Cache deaktiviert wurde. Wenn Sie den IIS-Token-Cache bereits deaktiviert haben und ihn deaktiviert lassen möchten, ist er für Exchange Server nicht erforderlich. Bitte stellen Sie jedoch sicher, dass Sie trotzdem alle Windows-Updates installieren.

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647

  13. Benjamin Berger sagt:

    Schaut mir nicht extra dringend aus, mit August SUs sind die am 12.10. veröffentlichten CVEs bereits gefixed
    „The Exchange Server CVEs released today can be addressed by installing the August
    2023 SU (both v1 and the v2 re-release of Aug SU contained those fixes)“

    EDIT: Nur folgendes nicht:
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36778

    Wieso auch immer das nicht in der Vulnerability-Liste auftaucht..

  14. Dominik sagt:

    Das Token wieder rückgängig machen geht auch über das Skript:
    https://aka.ms/CVE-2023-21709ScriptDoc

    Hat bei mir genauso funktioniert. Wichtig ist vielleicht, dass man das aktuelle Skript herunterlädt und nicht das alte vom August verwendet. Die Skripte sind auch unterschiedlich groß.

    .\CVE-2023-21709.ps1 -Rollback funktioniert wunderbar.

    Dann wird im selben Verzeichnis eine Debug Textdatei erstellt und am Ende steht bei mir: Write-Progress Activity: ‚Adding TokenCachingModule‘ Completed: True

    Mit dem aktuellen Skript und mit .\CVE-2023-21709.ps1 -Rollback sagt auch der Healtchecker alles in Ordnung :)

  15. taha sagt:

    Hi all,

    I faced same issue today. Thanks for all folks and Tarjan script. :)

    Update KB5030877 and error 0x80070643

  16. Singlethreaded sagt:

    Exchange Server 2016 (deutsch):
    – Alle Windows Updates installiert
    – SU10 für CU23 installiert

    Der Server wurde im August direkt mit der V2 gepatched, kein Workaround. Keine Probleme beim Update.

    – IISTokenCache per Skript wieder aktiviert
    – Script für die ExtendedProtection neu laufen lassen, da Microsoft hier die Empfehlungen angepasst hat.

    Beide Skripte neuste Version vom 10. Oktober. Keine Probleme gehabt. HealthChecker wieder glücklich.

  17. Thomas sagt:

    Moin,

    ich habe das August Update komlett per WSUS ausgeschlossen, muss ich nun das August V2 Update nachziehen oder kann ich das Oktober Update direkt installieren?

    Server 2022
    Exchange 2019 CU13

    Vielen Dank! Leider konnte ich dazu nichts finden!

    • Singlethreaded sagt:

      Die Updates für Exchange sind kumulativ. Auch wenn das August Update nicht installiert wurde, so kann direkt das Update für Oktober installiert werden. Kein Zwischenschritt erforderlich.

  18. Heribert sagt:

    Hallo,
    ich habe am Exchange 2019 CU13 alle Updates / Patches installiert, seitdem werden in den Posfächern keine Mails mehr nach dem 12.10.2023 gefunden – hat hier jemand eine Idee?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert