[English]Zum 13. April 2021 (Patchday) hat Microsoft – wie erwartet – Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese sollen gefundene Schwachstellen schließen, die von Sicherheitsfirmen gemeldet wurden. Eine zeitnahe Installation wird empfohlen – wobei es erst Rückmeldungen auf Fehler gibt. Hier einige Informationen zu diesen Updates.
Anzeige
Ich hatte ja im Blog-Beitrag Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen? bereits den Hinweise gegeben, dass Exchange-Administratoren darauf achten sollten, dass ihre betreuten Systeme auf den neuen CUs laufen, da ich für den 13. April 2021 Sicherheitsupdates erwarte. Genau diese Sicherheitsupdates wurden nun freigegeben – nachfolgende Abbildung stammt von einem Leser.
Das Microsoft Exchange-Team hat im Techcommunity-Artikel Released: April 2021 Exchange Server Security Updates einen Überblick zur Sachlage gegeben. In Exchange wurden Schwachstellen gefunden, die von einem Sicherheitspartner gemeldet gemeldet wurden. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt das Exchange-Team, diese Updates sofort zu installieren, um die Exchange-Umgebung zu schützen.
Diese Sicherheitslücken betreffen Microsoft Exchange Server auf On-Premises-Installationen. Exchange Online-Kunden sind bereits geschützt, da Microsoft diese Updates bereits installiert hat. Diese Kunden müssen daher keine Maßnahmen ergreifen.
Sicherheitsupdate KB5001779
Für On-Premises-Installationen hat Microsoft das Sicherheitsupdate KB5001779 für die nachfolgend aufgeführte Exchange-Versionen bereitgestellt.
Anzeige
Exchange Server 2010 ist aus dem Support gefallen und erhält kein Sicherheitsupdate. Auch aktuellere Exchange Server, die keinen der oben aufgelisteten Builds aufweisen, erhalten keine Sicherheitsupdate – ich hatte in meinem oben verlinkten Artikel darauf hingewiesen. Die Sicherheitsupdates schließen folgende Schwachstellen:
- CVE-2021-28480 | Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-28481 | Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-28482 | Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-28483 | Microsoft Exchange Server Remote Code Execution Vulnerability
Es handelt sich um Remote-Code-Execution-Schwachstellen, die eine hohe Gefahreneinstufung durch Microsoft erhalten haben.
Fehler und beim Update zu beachten
Das Update wird zwar unter Windows Update angeboten. Es sollte aber auf die Installation über diesen Weg verzichtet werden. Stattdessen empfiehlt sich der Download der Sicherheitsupdates über folgende Links:
- Download Security Update For Exchange Server 2019 Cumulative Update 9 (KB5001779)
- Download Security Update For Exchange Server 2019 Cumulative Update 8 (KB5001779)
- Download Security Update For Exchange Server 2016 Cumulative Update 20 (KB5001779)
- Download Security Update For Exchange Server 2016 Cumulative Update 19 (KB5001779)
- Download Security Update For Exchange Server 2013 Cumulative Update 23 (KB5001779)
Anschließend ist die Update-Installation in einer administrativen Eingabeaufforderung durch Angabe des vollen Pfad und Namens der .msp-Datei zu starten. Wird dies vergessen, indem die Installation per Doppelklick als Standardnutzer gestartet wird, werden einige Dateien nicht korrekt aktualisiert. Dann treten zwar keine Fehlermeldungen auf, aber das Sicherheitsupdate wird nicht korrekt installiert. Outlook im Web (OWA) und das Exchange Control Panel (ECP) funktionieren jedoch möglicherweise nicht mehr. Ich hatte in den Blog-Beiträgen Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021) und Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021) auf diese Probleme hingewiesen.
Erste Rückmeldungen von Administratoren lauten, dass dieses Update auf Testservern und auf Produktivsystemen durchgelaufen ist. Ich habe aber in einer Administratorgruppe von Facebook eine erste Rückmeldung mit einem Hinweis auf Fehler erhalten:
Kumulatives update 04/21 für Win Server 2019 bricht mit Fehler 0x80070541 ab. Günter Born hat zu diesem Fehler bereits am 18.3. was geschrieben gehabt. Zwar für Windows 10, setzt sich aber beim Server 2019 anscheinend fort. Habe es auf 2 Systemen getestet.
Der erwähnte Blog-Beitrag ist Windows 10: Installationsfehler 0x80070541 bei Update KB5001649 (18.3.2021) – dort war ein fehlendes SSU KB5001649 die Ursache für den Installationsfehler. Also kontrollieren, ob das aktuelle SSU für die Windows Server-Maschine installiert ist.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Anzeige
Irgendwie gut, dass wir den Mailserver schon länger hosten lassen.
Einfach zu komplex heutzutage geworden.
Und da ist das Spam Management nicht maö inkludiert.
Der Fehler hat nichts mit dem Exchange zu tun.
Es handelt sich hierbei um das kumulative April Update für Server 2019.
Habe bis jetzt erst zwei Server damit versorgt und bei beiden Servern kam dieser Fehler.
Habe dann das Update aus dem Katalog bezogen und es ließ sich einwandfrei installieren.
kann ich so bestätigen.
Updates auf Windows Server 2016 liefen durch.
Updates von Exchange 2016 liefen über Windows Update durch.
Updates von Windows Server 2019 erst nach manuellem Download aus dem Catalog.
Exchange 2016 CU 20 auf Windows Server 2016 keine Probleme
offene Windows Updates installiert und das Update aus dem Katalog bezogen
– PRTG Datenbank Sensoren (Remote Powershell) laufen auf einen Fehler
"The sensor was able to connect to the device using Remote PowerShell but could not retrieve access to Remote Exchange Management Shell. Ensure that remote management is enabled on the Exchange Server and the user has sufficient rights. "
Remote Powershell passt aber // Ticket beim Hersteller wird eröffnet
Hallo MIkeRow
Schon was von Paessler gehört?
Habe den selben Fehler
Hallo Roman, ich habe gerade das Ticket erst eröffnet. Ich wollte erst den 2. Server patchen und schauen ob es da auch passiert.
Fehler tritt da auch auf. eigene Scripte funktionieren, nur die PRTG eigenen Sensoren nicht. Ich gebe Feedback wenn sich Paessler meldet.
PRTG
Unfortunately, several customers have reported exactly this behavior after the Exchange update. In software development, it is unfortunately sometimes the case that one manufacturer (in this case Microsoft) changes something and others then have to follow suit.
We have to analyze the problem and I hope that my colleagues from development can offer a hotfix soon. This also means, that unfortunately, I can't offer you a quick solution at the moment and ask for your patience.
With kind regards,
Hallo, ich habe aus dem PRTG Testlab eine Test Version als Fix (eine exe Datei) erhalten mit dem Hinweis
"Es ist aber nur ein Workaround. Hauptsache das Monitoring funktioniert wieder.
Wir erwarten noch eine Antwort von Microsoft, ob der Change intended war oder nicht. Basierend darauf werden wir eventuell ein Hotfix releasen."
Hallo Mike,
gibt es schon eine Info seitens Microsoft bezüglich des Change? Wie bist du an den Fix genauer rangekommen?
Am 21.04.2021 kommt ein PRTG Update mit dem Fix raus.
Habe das gleiche Problem mit PRTG seit dem Update…vielleicht kannst du ja dein Ergebnis auf die Supportanfrage beim Hersteller hier veröffentlichen. ;-)
Paessler hat sich gerade gemeldet und das Problem bestätigt. Kann noch ein wenig dauern bis die das fixen.
Geht es hier denn nicht vielleicht um ein generelles Problem mit der Remote Powershell (Exchange Back end -> PowerShell)?
Habe mit diversen Tools Zugriffsprobleme.
Aktuell gleiches Problem mit PRTG+Snapmanager (beides RemotePowershell)
Nein, ist geprüft. Remote Powershell generell und auch in PRTG funktionieren eigene Scripfte basierend auf Remote Powershell. Ich habe gerade einen Fix von Paessler erhalten, er funktioniert.
Kommentar eines Admins auf FB in einer Server-Gruppe:
Hi Günter,
hast du neue Erkenntnisse, ob der Admin der FB-Gruppe bereits das Problem mit dem Zeitstempel lösen konnte? Bei uns in der Umgebung Server 2012r2 Exchange 2016 haben wir das gleiche Problem mit dem Zeitstempel.
Gruß
Steffen
Leider nein. Ich habe aber Cedric deinen Kommentar in Facebook samt Link gepostet. Falls der eine Lösung gefunden hat, wird er sich sicher melden. Sollte mir noch was unter die Augen kommen, trage ich es hier ebenfalls nach.
Ciao Miteinander
Hatte auch HTTP 500er Error, nach UpdateCas.ps1 und UpdateConfigFiles.ps1 gemäss Kommentar von Pete weiter unten, ging's dann wieder…
Gruss Dö
Moin.
Das seit dem Exchange Update die Überwachung PRTG bezüglich Datenbanken auf Fehler läuft kann ich bestätigen.
Abfragen von Postfächern, DAG Status, Backup Status usw. schlägt fehl. Sehr ärgerlich, zumal ich in der offiziellen MS Dokumentation nichts gefunden habe, dass Berechtigungen weggefallen oder eingeschränkt worden sind.
Betrifft uns (Exchange 2019 CU9) ebenfalls, genau dieselbe Fehlermeldung. Ebenfalls Ticket bei Paessler eröffnet.
Sehr geehrter Herr MikeRow,
vielen Dank für Ihre Support-Anfrage.
Leider haben mehrere Kunden genau dieses Verhalten nach dem Exchange-Update gemeldet. In der Softwareentwicklung ist es leider manchmal der Fall, dass ein Hersteller (in diesem Fall Microsoft) etwas ändert und andere dann nachziehen müssen.
Wir müssen das Problem analysieren und ich hoffe, dass meine Kollegen aus der Entwicklung bald einen Hotfix anbieten können. Das bedeutet auch, dass ich Ihnen im Moment leider keine schnelle Lösung anbieten kann und bitte um Ihre Geduld.
Mit freundlichen Grüßen
Technical Support Team
INFO:
"Is Microsoft planning to release April 2021 security updates for older (unsupported) versions of Exchange CUs?
No, we have no plans to release the April 2021 security updates for older or unsupported CUs. In March, we took unprecedented steps and released SUs for unsupported CUs because there were active exploits in the wild. You should update your Exchange Servers to supported CUs and then install the SUs. There are 47 unsupported CUs for the affected versions of Exchange Server, and it is not sustainable to release updates for all of them. We strongly recommend that you keep your environments current."
Hallo,
ich habe den Patch auf unser Testsystem installiert:
Start 07:13
Patch 14.03.2021
KB5001779 CU20 Exchange 2016
Exchange Powershell starten
Set-ServerComponentState SGSX2016 -Component HubTransport -State Draining -Requester Maintenance
Set-ServerComponentState SGSX2016 -Component ServerWideOffline -State Inactive -Requester Maintenance
Restart-Service MSExchangeTransport
Restart-Service MSExchangeFrontEndTransport
Set-MpPreference -DisableRealtimeMonitoring $true
Exchange Internet Access freischalten any
cmd als admin starten
c:\temp\Exchange2016-KB5001779-x64-en.msp
Fertig um 07:40
Exchange Powershell starten
Set-ServerComponentState SGSX2016 -Component ServerWideOffline -State Active -Requester Maintenance
Set-ServerComponentState SGSX2016 -Component HubTransport -State Active -Requester Maintenance
Restart-Service MSExchangeTransport
Restart-Service MSExchangeFrontEndTransport
Set-MpPreference -DisableRealtimeMonitoring $false
Check Eventlogs -> unauffällig
Check Installation -> OK
Exchange Internet Access für FIPS einschalten und any ausschalten.
Fertig um 07:50
Client access -> OK
Update von 2x Exchange 2013 auf Windows Server 2012 R2 und 1x Exchange 2019 auf Windows Server 2019. Via WSUS installiert.
Keine Probleme
Unser Exchange 2019 mit CU9 hat das Update automatisch installiert, weil er es darf.
Kann ich irgendwie feststellen, ob dies nun fehlerhaft war? EAC funktioniert noch.
Der Server wird als Relay genutzt,die Postfächer der Kollegen liegen auf einem Exchange Online.
Oder sollte man das Update nochmal manuell drüberbügeln?
Gruß
Problemlose Installation des Updates mittels Windows Update!
Dauer 20 Minuten plus Neustart.
Updates problemlos über Admin-CMD und manueller Patch-Installation auf folgenden System installiert:
– Exchange 2013 CU23 / Server 2012R2
– Exchange 2016 CU19 / Server 2016
Bitte "etwas" Zeit mitbringen, die Installation dauert etwas!
Update manuell über Admin-CMD auf:
– Exchange 2019 CU9 / Server 2019
Bis jetzt keine Problem festgestellt.
Updates über Windows Update ohne Probleme installiert:
Exchange 2013 CU23/ Server 2012R2
monatliches Update Windows Server 2012R2 auch ohne Probleme
Update manuell durchgeführt ohne Probleme.
Exchange 2016 CU20 / Server 2016
Einer der Server hatte für den Neustart fast 50 Minuten…
bei einem Error like
"Da hat etwas nicht geklappt" – OWA
FM letzte Zeile
InnerExecption:System.IO.DirectoryNotFoundException"
Lösung:
Powershell mit Adminrechten:
Ordner:
XXX:\Microsoft\Exchange Server\V15\Bin
XXX:\Microsoft\Exchange Server\V14\Bin
Dort im "Bin" Verzeichnis : mit der offenen PS, administrative Rechte – Ausführen:
"UpdateCas.ps1" (dauert eine Weile)
Dann "UpdateConfigFiles.ps1"
Dann "Exchange Admin Center" aufrufen (Start / Microsoft Exchange .. ), dort
im Browser anmelden. Wenn es kommt, die Anmeldung dauert einen Moment – dann alles gut.
Ansonsten ggfs. Reboot & Try Again mit Login
Ciao Pete
Danke.. Bei mir kam der HTTP 500er Error, nach UpdateCas.ps1 und UpdateConfigFiles.ps1 ging's wieder :).
Gruss Dö
Zu Exchange 2010:
Das hat nicht deshalb kein Sicherheitsupdate bekommen, weil es aus dem Support raus ist, sondern weil es lt. Microsoft nicht anfällig ist für diese Sicherheitslücken.
Schon beim März-Update gab es für Exchange 2010 nur für eine der Sicherheitslücken ein Sicherheitsupdate, weil es für die anderen Sicherheitslücken nicht anfällig ist.
I Couldn't update the server,
having Exchange 2016 / Server 2016 Standard
Please your support, below the error,
"The Upgrade patch cannot be installed by the windows installer service
because the program to be upgraded may be missing or the upgrade patch may update a different version of the program. Verify that the program to be upgraded exist on your computer and that you have the correct upgrade patch."
thanks