[English]Microsoft hat zum 12. November 2024 Sicherheits-Updates (SU) für Exchange Server 2016 und 2019 veröffentlicht. Diese Updates schließen Schwachstellen, die durch Microsoft oder Sicherheitspartner in Exchange Server gefunden wurden. Nachfolgend gebe ich einen Überblick, welche Updates für Exchange Server (On-Premises) verfügbar sind. Ergänzung: Das Update wurde zum 14.11.2024 zur Verteilung gestoppt.
Ich bin bei der Suche über nachfolgenden Tweet des Exchange-Teams auf den Techcommunity-Beitrag Released: November 2024 Exchange Server Security Updates gestoßen.
Gemäß Techcommunity-Beitrag wurden sowohl für Exchange Server 2016 als auch für Exchange Server 2019 Sicherheitsupdates (SU) veröffentlicht. Aktuell sind folgende CUs:
Die Updates (CU) vom November 2024 enthalten Korrekturen für von Sicherheitspartnern gemeldete oder intern gefundene Sicherheitsprobleme. Hier die betreffenden Sicherheitsupdates (SUs):
- Security Update For Exchange Server 2019 CU13 SU7 (KB5044062)
- Security Update For Exchange Server 2019 CU14 SU3 (KB5044062)
- Security Update For Exchange Server 2016 CU23 SU14 (KB5044062)
Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Server-Installationen schützen. Details zur Update-Installation sowie zu den Schwachstellen, lassen sich im Techcommunity-Beitrag sowie in dem Supportbeitrag KB5044062 entnehmen.
Diese Sicherheitslücken betreffen Exchange Server (On-Premises). Exchange Online-Kunden sind bereits vor den Sicherheitslücken geschützt, die durch diese SUs behoben werden, und müssen außer der Aktualisierung aller Exchange-Server oder Exchange-Verwaltungstools-Workstations in ihrer Umgebung keine weiteren Maßnahmen ergreifen.
Exchange Server AMSI-Integration
Im Techcommunity-Beitrag erläutert Microsoft, dass man Verbesserungen bei der Exchange Server AMSI-Integration vorgenommen habe. Sobald die SU vom November 2024 installiert sind, wurde die Fähigkeit von Produkten, die die Exchange Server AMSI-Integration verwenden, erweitert, diese können zusätzliche Aufgaben an Nachrichtentexten auszuführen.
Die Funktion ist standardmäßig deaktiviert und kann für jedes Protokoll einzeln aktiviert werden. Microsoft empfiehlt, diese Funktion zunächst für eine Teilmenge von Diensten zu aktivieren, da dies möglicherweise zu Leistungsproblemen führen kann. Darüber hinaus bittet Microsoft um Rückmeldung, wenn nach der Aktivierung des Exchange Server AMSI-Textscans Probleme auftreten. Weitere Informationen zur Funktionsweise und Steuerung dieser Funktion finden sich hier.
Non-compliant RFC 5322 P2 FROM header detection
Um die Sicherheitslücke CVE-2024-49040 zu beheben, wurde eine neue Funktion implementiert, um nicht RFC 5322-kompatible P2-FROM-Header in eingehenden E-Mail-Nachrichten zu erkennen. Der P2-FROM-Header in einer E-Mail ist Teil des Nachrichtenkopfes, der dem E-Mail-Client des Empfängers (z. B. Outlook) angezeigt wird. Es ist die E-Mail-Adresse oder der Name des Absenders (wenn der Absender intern ist), der im Feld „Von“ angezeigt wird, wenn Sie eine E-Mail in Ihrem Posteingang anzeigen. Weitere Informationen finden sich hier.
Verbesserungen der ECC-Zertifikatsunterstützung
Das SU vom November 2024 verbessert die Unterstützung für ECC-Zertifikate. ECC-Zertifikate können jetzt auf Edge-Transport-Servern verwendet und an POP- und IMAP-Dienste gebunden werden. Zu beachten ist, dass es eine Änderung bei der Aktivierung der ECC-Zertifikatsunterstützung gibt. In der vorherigen Implementierung war ein New-SettingOverride erforderlich, um die Funktion zu aktivieren. Ab dem SU vom November 2024 müssen Administratoren anstelle des Overrides einen Registrierungswert erstellen. Weitere Informationen finden sich in der Dokumentation.
Ergänzung: Die Update-Verteilung ist wegen Problemen mit den Transportregeln wurde zum 14.11.2024 gestoppt worden (siehe Exchange Server: November 2024-Sicherheitsupdates wegen Problemen gestoppt).
Ähnliche Artikel:
Microsoft Security Update Summary (12. November 2024)
Patchday: Windows 10/Server-Updates (12. November 2024)
Patchday: Windows 11/Server 2022-Updates (12. November 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (12. November 2024)
Exchange: Extended Protection, Checkliste und Probleme
Exchange Server 2019: Keine weiteren CUs mehr in 2023; CU14 und CU15 kommen 2024
Also ich kann berichten, bei mir hat es sich einwandfrei installieren lassen
(Exchange 2019 auf Server 2022)
Frage in die Runde der Admins,
Windows 2016 mit Exchange 2016 zeigt nach Windows Patchday update installation keinen Update Verlauf mehr an! sprich welche Updates installiert wurden.
auch nicht unter Programme und Featurs hier seh ich nur das Exchange Update?
installiert wurden aber 4 Updates.
kann das jemand nachvollziehen?
Nein, sorry, hier funktioniert es einwandfrei, es werden 4 neue Updates, heute installiert, im Verlauf angezeigt.
Exch 2016 auf virtuellem Win 2016. Virtualisiert auf Win 2019 Cluster mit Hyper-V.
Update lief ohne Probleme durch. EXCH2016 auf Server 2016.
Moin, ich hab dazu mal ein kleines Logbuch meiner vorgefundenen Fehler bei den aktuellen Updates auf einem aktuell gepatchten EXC2016 (auf VM Server 2016) angelegt:
Kommentar bei Frankys Web
Sorry Herr Born, aber muss ja nicht alles doppelt, oder? ;0)
Bei einem 2019er Server wurden die Updates ohne zutun installiert.
Abgesehen davon das es fehlgeschlagen ist, wurden sämmtliche Dienste deaktiviert.
Sprich der Server ist beim Kunden einfach von jetzt auf gleich ohne Funktion gewesen. Da musste ich dann schon ein weilchen suchen, um herauszufinden was los ist.
Nach dem zweiten manuellen Versuch das Update zu installieren, war dieses zwar erfolgreich drin, allerdings sind wieder alle Dienste auf deaktiviert gestellt gewesen.
Bin gespannt wie es dann bei den anderen Server aussieht.
Ich bin immer noch der Meinung, Exchange Updates sollte man tunlichst nicht per Windows Update installieren lassen, man liest in diversesten Blogs und Foren immer wieder von Problemen damit. Daher verstehe ich nicht, dass es immer noch Leute gibt, die das per Windows Update reinlaufen lassen und dann auch noch automatisch.
Lieber das Update vom Download Center manuell herunterladen und dann auch manuell auf dem Server installieren, da gibt es deutlich weniger Bauchschmerzen mit und man kann auch direkt eingreifen, falls doch was passieren sollte.
Amen
Mit dem Windows Update gab es noch nie Probleme, aber ich lasse ja auch nix automatisch ohne beisein installieren.
Nur diesmal hat MS gemeint es tun zu mussen, und sowas ist fatal.
„Es gab noch nie Probleme“ – bis es plötzlich Probleme gibt. Wer kennt es nicht. Wer sich die KBs zu den Updates durchliest sollte wissen, dass man SUs nicht per Windows Update installiert. Und wenn dein System das Update einfach automatisch einspielt, stimmt halt was an deiner config nicht. Mir wurde noch nie ein Update einfach installiert, welches ich nicht selber freigegeben habe. Noch nie in 20 Jahren.
ich kann hier nur zustimmen. Aus meiner Erfahrung mit vielen Exchange-Umgebungen ist der einzige stabile Weg:
Alle Admins, die auf dem Server angemeldet sind abmelden.
Alle Exchange PowerShells schließen.
Admin-CMD öffnen und dann darüber das lokal abgelegte Exchange Update starten (egal, ob CU oder SU). Über den WSUS geht es meistens, aber halt nicht immer.
Grüße
Also bei unserem Exchange wurden und werden keine Exchange Updates per Windows Update geladen, noch nie. Die werden mir da nicht mal angezeigt, nur die normalen Windows Updates tauchen da auf, die ich dann freigeben kann. Und das ist auch genau so gewollt und an diese Einstellung hat sich MS bisher immer gehalten.
Ich bin daher bei Carsten, an deinen Einstellungen ist was nicht korrekt.
Die Exchange-Updates laufen rein, wenn sinngemäß „auch Microsoft-Software updaten“ angemarkert ist.
Bei mir ist der Haken raus. Dann laufen nur die Serverupdates. Nach Neustart Haken rein und Exchange SU installiert.
Bei mir, Server 2016 Exchange 2016 wollte der Server nicht neu starten. Mehr als 1Stunde „… schalten Sie nicht ab…“. Dann hab ich die VM stromlos gemacht u. neu gestartet. Exchange SU war installiert.
Die letzten Male hatte ich manuell installiert. Diesmal „Windows Update“. Scheint wirklich daran zu liegen.
Habe genau das gleiche Problem, es läuft jetzt wieder alles nur heute am 2. wieder alles deaktiviert ohne zutun.
Wir lassen Mails von extern im Betreff und im Nachrichtentext per Regel kennzeichnen.
(siehe https://schweigerstechblog.de/exchange-mails-von-extern-besonders-hervorheben/).
Leider funktionieren die Regeln nach der Installation von KB5044062 auf Exchange 2016 nicht mehr. Kann das noch jemand bestätigen oder hat gar eine Lösung dazu?
Bei Reddit hat jemand geschrieben, dass er die Regel einfach ohne Veränderung mehrmals erneut gespeichert hat und dann ging es plötzlich wieder. Vielleicht ein Versuch wert.
https://old.reddit.com/r/exchangeserver/comments/1gqvlym/issues_with_rules_after_november_su/
Verrückt. Der Ansatz mit der wiederholten Speicherung hat funktioniert. Ich bin nicht zu 100% sicher ob es wirklich ohne Änderung funktioniert hätte. Ich habe nach dem vierten Versuch einmal einen Kommentar ergänzt und wieder entfernt.
Dies hat bei uns leider nur temporär geholfen. Nach einer gewissen Zeit haben die Regeln nicht mehr funktioniert. Erneutes Speichern hat wieder geholfen aber auch nur für ca. 30 Minuten.
Ich hoffe Microsoft bessert hier zügig nach.
Danke für die Info. Nach 5-7x Speichern klappte die Regel für etwa 15 Minuten, dann wurde sie wieder ignoriert.
Kann MS nicht einfach ein Sicherheitsupdate rausbringen ohne irgendwas Funktionierendes zu verfummeln…
Das kann ich so bestätigen.
Eine Lösung habe ich bisher nicht gefunden.
Können wir leider auch bestätigen. Die Transportregeln sind seit dem Update ohne Funktion.
Die Workarounds (Deaktivieren / Aktiveren bzw. Kommentare einfügen) funktionieren bei uns allesamt leider nicht.
Wenn ich bei uns den Dienst „MSExchangeTransport“ neu starte, funktionieren alle Transportregeln für etwa 30 bis 60 Minuten wieder.
Mein aktueller Workaround ist darum eine Aufgabe in der Aufgabenplanung, welche beim Systemstart startet und dann alle 15 Minuten folgendes ausführt:
powershell -command „Restart-Service MSExchangeTransport“
Viele Grüße,
Martin
Der Tipp ist goldwert. Danke.
Können das Problem leider bestätigen, wiederholtes speichern der Transportregeln hat das Problem nicht gelöst. Aktuell funktionieren die Transportregeln nicht.
Auch bei uns. Nur kurz halfen diese Befehle:
Enable-TransportAgent „Transport Rule Agent“
stop-service MSExchangeTransport
start-service MSExchangeTransport
Nachdem sich die Kommentare dazu auch im Exchange Team Blog häufen, sollte Microsoft es inzwischen auf dem Schirm haben:
https://techcommunity.microsoft.com/blog/exchange/released-november-2024-exchange-server-security-updates/4293125
Kurzfassung:
Update 11/14/2024: We have temporarily paused the rollout of this update. Please see the Known issues section below.
Wiedermal Schrott ausgeliefert. Unglaublich. Solch Software dürfte man in Produktivumgebungen eigentlich gar nicht einsetzen.
Ja, wird nicht mehr angeboten.
Weiß jemand eine Möglichkeit, das SU von einem Exchange Server 2019 Server Core runter zu bekommen? über msiexec, wusa und uninstall-Package funktioniert es leider nicht
Debian Linux USB Stick einlegen…
– Postfix – Mail Transfer Agent (MTA)
– Dovecot – POP3, IMAP, Managesieve
– OpenLDAP
– MySQL, MariaDB, PostgreSQL
– Amavisd-new/ Spamassasin
– ClamAV
– Fail2ban
– Nginx & SOGo für ActiveSync
Fertig ist der vollwertige Mailserver ohne Lizenzkosten, beliebig vielen User und Postfächer, öffentliche Ordner, Ressourcen, DAV- und ActiveSync Funktionen
Der Bruchteil der vergeudeten Lebenszeit und -energie mit den immer wiederkehrenden Microsoft Fehlern und Bullshit und Du bist fit in den vorgenannten Komponenten.