[English]Im Januar 2019 hat Microsoft das Sicherheitsupdate KB4471389 für Exchange Server 2013, 2016 und 2019 freigegeben. Bei manchen Systemen führt das Update aber zu Installationsfehlern, so dass der Exchange Server unbrauchbar werden kann.
Anzeige
Aufhänger für diesen Beitrag ist ein Leserhinweis an die heise.de-Redaktion, die mir dann als Stellungnahme zuging. In Absprache mit heise.de stelle ich das Thema hier im Blog ein – vielleicht gibt es noch weitere Betroffene, Rückmeldungen und weitere Erkenntnisse.
Das Sicherheitsupdate KB4471389
Das Sicherheitsupdate KB4471389 schließt eine Sicherheitslücke in der Microsoft Exchange-Software, die eine Remote-Code-Ausführung ermöglicht, wenn die Software Objekte im Speicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code im Kontext des Systembenutzers ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten erstellen.
KB4471389 steht als kumulatives Updates für verschiedene Exchange Server-Versionen zur Verfügung:
- Security Update For Exchange Server 2013 CU21 (KB4471389)
- ecurity Update For Exchange Server 2016 CU10 (KB4471389)
- Security Update For Exchange Server 2019 (KB4471389)
Im Microsoft Update Catalog steht dieses Update ebenfalls zum Download bereit. Eine englischsprachige Übersicht findet sich auch in diesem Blog-Beitrag.
Exchange-Killer Sicherheitsupdate KB4471389
Bei Steven K. führte dieses Sicherheitsupdate zum Ausfall des Exchange Servers und es blieb nur noch eine Reparaturinstallation, um Exchange wieder zum Laufen zu bringen. Dazu schrieb Steven K.:
Das Sicherheitsupdate KB4471389 wurde ohne eingreifen des Admins auf unserem Exchange Server 2016 automatisch installiert (über Windows Update, automatische Installation deaktiviert).
Das Update ist bei der Installation fehlgeschlagen und hat dafür gesorgt, dass alle Exchange Dienste deaktiviert waren. Das manuelle starten der Dienste und das erweiterte Troubleshooting brachte keinen Erfolg und brachten den HTTP Error 404.
Die Deinstallation des Updates war ebenfalls nicht möglich und ist nach mehreren Versuchen nach ca. 45 Minuten abgebrochen. Eine manuelle Neuinstallation des Updates schlug auch nach kurzer Zeit fehl.
Eine Recherche im Internet zeigt, dass das Problem schon bei mehreren Usern aufgetreten ist und Microsoft das Problem nicht eingesteht. Auch der Microsoft Support konnte uns nicht helfen und ist ratlos.
Das Sicherheitsupdate KB4471389 wurde also, laut diesem Nutzer, durch Microsoft zwangsweise installiert. Nach der Update-Installation funktioniert der Exchange Server 2016 nicht mehr. Der einziger Weg zur Lösung war eine Reparaturinstallation.
Weitere Fundstellen zum gleichen Problem
Geht man nach KB4471389 auf die Suche, stößt man auf verschiedene Webseiten, wo von Installationsproblemen berichtet wird.
- Dieser Spiceworks-Post berichtet von einer gescheiterten Installation bei Exchange Server 2019.
- Auf administrator.de gibt es diesen Post, wo das Exchange 2019 Update ebenfalls fehl schlug.
- Auf Technet gibt es diesen Forenthread, wo eine gescheiterte Installation bei Exchange Server 2016 beklagt wird.
- Auf reddit.com gibt es diesen Thread, der ebenfalls eine gescheiterte (automatische) Installation berichtet.
Dort beklagen sich die Betroffenen, dass die Exchange Dienste nach der gescheiterten Installation leider nicht mehr starten. Den Betroffenen blieb wohl nur, ein altes Backup einzuspielen.
Anzeige
Ein bekanntes Problem bei Update KB4471389
Für Update KB4471389 hat Microsoft diesen KB-Beitrag veröffentlicht, in der unter bekannten Problemen auch ein Installationsabbruch aufgeführt wird.
When you try to manually install this security update by double-clicking the update file (.msp) to run it in "normal mode" (that is, not as an administrator), some files are not correctly updated.
When this issue occurs, you don't receive an error message or any indication that the security update was not correctly installed. Also, Outlook Web Access (OWA) and the Exchange Control Panel (ECP) may stop working. This issue occurs on servers that are using user account control (UAC). The issue occurs because the security update doesn't correctly stop certain Exchange-related services.
Dieser Abbruch tritt auf, wenn die Installation auf Systemen mit Benutzerkontensteuerung (UAC) nicht mit administrativen Berechtigungen, z.B. per Doppelklick auf die Update-Datei, ausgeführt wird. Dann kann der Installer die Exchange-Dienste nicht beenden. Microsoft schlägt vor, das Update manuell über Als Administrator ausführen zu starten.
Für mich erklärt der Microsoft-KB-Artikel aber nicht, warum ein kumulatives Exchange Server-Update, welches vom Windows Update-Dienst installiert werden soll, wegen fehlender Berechtigungen scheitert. Irgend etwas wurde da von Microsoft vermurkst.
In diesem Spiceworks-Thread gibt es den Hinweis, dass die obige Microsoft-Anleitung nicht weiterhilft. Ist die Installation des Update KB4471389 gescheitert, scheinen Dienste beschädigt zu sein – so dass man nur noch auf ein Backup des Systems zurückgreifen kann.
Noch ein paar Hinweise
Als mir diese Meldung auf den Tisch kam, ging mir der Gedanke 'da war doch was' durch den Kopf. Im August 2018 hatte ich im Blog-Beitrag Probleme mit Exchange Server 2016 Update KB4340731 einen Erfahrungsbericht eines Administrators verarbeitet. Dieser berichtet von Installationsfehlern und Folgeproblemen beim Sicherheitsupdate KB4340731. Es gibt im Thread unter administrator.de auch ein Script, um die inaktiven Dienste nach dem Update wieder zu aktivieren. In der Diskussion kam aber der Hinweis, dass nicht immer alle Dienste zu aktivieren seien.
Im Internet habe ich diesen Blog-Beitrag aus dem Jahr 2016 gefunden, der die Abläufe bei der Installation eines kumulativen Updates eingeht. Dieses liefert eine mögliche Erklärung: Bei der Installation eines kumulativen Updates werden alle Exchange Dienste und abhängige Dienste, auf "Deaktiviert" gesetzt. Grund ist, dass während der Installation des Rollups nichts mit den Installationsroutinen kollidieren kann (By Design).
Wenn der Installer aber nicht mit administrativen Berechtigungen läuft, kann er die Dienste nicht stoppen. Dann geht die Update-Installation schief, und die Dienste werden anschließend nicht mehr gestartet, die Exchange-Dienste sind nicht mehr erreichbar.
In diesem reddtit.com-Thread wird noch auf einen Blog-Beitrag aus dem Jahr 2014 verwiesen. Dieser befasst sich mit dem Problem dass bei Exchange 2013 nach einem 'Ereignis' plötzlich kein Zugriff mehr auf OWA oder ECP möglich ist. Der Artikel schlägt noch ein paar Reparturschritte vor, um den Exchange Server ggf. wieder zum Laufen zu bekommen. Ob das bei obigem Problem hilft, kann ich nicht beurteilen – ich habe keine Aktien in Exchange Server.
Abschließende Frage: War jemand von den Problemen betroffen? Sind Ursachen abseits der obigen Ausführungen oder alternative Reparaturanweisungen bekannt?
Ähnliche Artikel:
Sicherheitsempfehlung ADV190007 für Exchange-Server
AD und Exchange Server mittels EWS API angreifbar
Probleme mit Exchange Server 2016 Update KB4340731
2015
"Da war doch was" – mir sind letztes Jahr seit Oktober zwei Server 2012 R2 mit Exchange 2013 bei "ganz normalen" Windows Updates gestorben, das Betriebssystem fuhr nach Installation der Windows-Updates einfach nicht mehr hoch – zwei weitere Server haben ohne Störungen überlebt. Warum das geschah… pfff…
Zum Thema "Setup/Update mit erhöhten Berechtigungen starten" habe ich im Beitrag vom August 2018 schon meinen Senf dazugegeben https://www.borncity.com/blog/2018/08/23/probleme-mit-exchange-server-2016-update-kb4340731/#comment-61727.